 |
質の高い情報セキュリティポリシー作りを提唱する
【特集】スローポリシーのススメ
第3回 日本型企業にポリシーの承認と運用を実践させるには
|
宇崎俊介 |
|
| いまが問題提起のチャンス |
前回「現状の情報セキュリティポリシーの問題点」では「情報セキュリティポリシーを導入するにはコーポレートガバナンスの概念に基づいた説得力ある説明が必要となることや、型にはめたセキュリティ対策の実行を行うような即席のポリシーは使いものにならない」という主旨の話をした。「そんなことは当たり前じゃないか」と思われた方もおられるであろうし、それでは「どのようにしてうちの会社は行おうか」と考えた方も中にはおられるかもしれない。即席ものが役立たずであるという、その当たり前のことが分かっていても打破できないという悩みに直面される方を多く目にする。実際には入門段階のひな型を手にしてしまうと、それ以上にアイデアを膨らますのが困難ということと、教科書から外れたことをしてみようということに恐怖心を感じてしまうようだ。
今回はこれまで2回のまとめを行うとともに、企業の情報セキュリティ担当者、ポリシー案を考えておられる方に、1つの“Key”をお渡しできればと思う。
一昨年より、情報セキュリティやシステムに関する国際標準などが注目され、それらにあおられる形でさまざまな形態のサービスが登場してきている。セミナーは盛んに開催され、どれも盛況であった。エグゼクティブにもそれらを通じてISO17799やBS7799、ISMSという言葉が伝わったかもしれないし、関心事項の1つとなってきたということもあるだろう。ところがいざ現実的にポリシー策定に投資をして……ということになると、エグゼクティブの腰はにわかに重くなる。だが現在自社が置かれているリスクを示されれば、エグゼクティブとて動かざるを得ないだろう。
よって国際標準などを利用して自社のチェックを行い、エグゼクティブに情報セキュリティの面から見ると事業リスクが存在するところまでを示すことが必要だろう。情報システム部門に企業の包括的事業リスクを分析せよというのは、業務範囲を超えているかもしれないが、リスクとしてインパクトのあるものでなければ、エグゼクティブにとっては受け入れられないことである。すなわち、BS7799やISMSがどういうものであるかなどということは関係なく、その認証を取得することが会社にとってどれだけのメリットをもたらすのか、その論理的・定量的な根拠が必要なのだ。
これらは直接収益部門のメインの業務に関して、その業務プロセスから情報資産が漏れた場合を想定して、「どうなりますか?」「どのくらいのダメージを予測されますか?」ということを端的に、時間をかけずに聞けばよい。恐らくその時点の回答は、情報システム部門が想定する額面やダメージとは異なってくるはずだ。さらに、ネットワークなどのメディアを通じた企業情報や悪評の大規模な拡散というところまでも掘り下げていないはずだ。その足りない部分を情報システム部門で追加して、その業務プロセスに潜むリスクとインパクトの強度を提示できる資料をまとめれば、エグゼクティブを説得できる1つの材料はそろう。
また、BS7799やISMSに関する情報はセミナーや講演会、そのほかWebサイトや書籍からでも入手することが可能だ。それらの管理項目を参考にして、現在自分の組織がどの程度の情報セキュリティに関する管理が達成できているか、自己評価をしてみるとよいだろう。数値的に採点してもよいし、項目別に単に「できている」か「できていないか」をチェックするだけでもよい。次にチェックされた結果からNG(不良)である部分に着目し、別途抽出しておいたリスクとひも付けを行ってみる。それができれば、国際標準や国内の制度から外れる度合いで、「これだけのリスクが顕在化する可能性がある」という言葉に一層の説得力が生まれてくる。
そのときに、「管理項目のここが抜けているのが問題だ」と考えるのも重要だが、「抜けている管理項目のこの部分は、うちの組織ではどう抜け落ちているのか」を考えてまとめてみるとよい。BS7799やISMSの管理策を守ることが、必ずしもすべての業種にとって完璧な対処とはいえないからだ。
極端な例でいえば、モバイルアクセスについての項目がある。BS7799-2:1999では「モバイルコンピューティング」と記されているが、モバイルアクセスを全く行わない組織にとっては意味がないし、モバイル機器を使っていてもせいぜいたまにWebを見るだけで業務目的のメールのやりとりなどを全く行わないのであれば、リスクは格段に減少することになる。そういった項目は無視しても構わないわけだ。今後の展望として、BS7799やISMSが企業に必須の認証制度になるとは限らないし、そもそも情報セキュリティの分野においてメインストリームを形成するかどうかさえ予測が立たない。筆者はその世界の真っただ中にいながら、規格というものは、練れたテクノロジの上には根を張って立つが、インターネットという新しいテクノロジによって成り立つ新しい分野において、簡単に根を下ろすものとは考えない方が賢明ではないかと考えている。あくまで参考程度に考えられて、他人のまとめた文言を利用するぐらいのスタンスがちょうどよいのではないか。いずれにせよ、いまは利用するチャンスとしてタイムリーであるといえるだろう。
| 日本型企業においてポリシー承認と運営を実践させるには |
情報セキュリティ対策を何も施していない企業のエグゼクティブはリスクに対する意識が低い。ところがいったんネットワークを介して何か問題が発生したときには、情報システム部門が真っ先に怒鳴り込まれてしまう。そんな日本型の企業においてポリシーを承認させることは至難の業であろうが、決して不可能ではないと筆者は考える。
組織がリスクに目をつぶる体質になるのは、業務に関する責任の所在が明確になっていないことが、まず原因として考えられるだろう。ある情報が業務プロセスの中を流れるときに、多くの人間がその情報にタッチし、加工し、複製を作り、保管形態を変えてしまう。そういったことが業務の中で必須として行われるが、関与する全員がその情報の管理責任を持たずにいれば、だれも情報リスクということに配慮する必要性がなくなってしまうからである。有事の際にライン管理だけが責任者として責を負うのは、非常に唐突で不条理である。理想としては情報資産にタッチしているすべての人間が責任を持つべきであり、ライン管理者だけに集中させるべきではなく、役職を超えてフェアに責任を持つべきであろう。そうして責任範囲を細分化することは、業務関連情報の取り扱いに関する意識と責任を両立させ、セキュアな業務プロセスを確立するための前提論として非常に重要であろうと思う(情報の取り扱いに関するリテラシや意識というものは、責任と対になるものであり、リテラシだけが高く、何の責任もないということはまずあり得ない。逆に責任だけが存在して、業務に関する情報の取り扱いに関する意識は何もないということも、組織として不健全でかつ危険である)。
よってポリシースタンダード(セキュリティ運用管理基準)において真っ先にうたわれるべき言葉は、業務における情報の取り扱いに関する責任の明確化と範囲にあるのではないか。
さてポリシー承認の話であるが、最も効率的であるのが、先の項で述べたリスクの可能性とダメージ、そして国際標準に照らしたNGポイント、これに予測される金額的損失を付帯させたものをポリシー策定作業の企画書として仕立て上げることである。この企画書をもって「われわれが調査しただけでもこれだけのリスクの顕在化の可能性がある。業務リスクとしてとらえられるものにこれだけの金額的損失が挙げられる。システムではこれらのリスクを回避する、ないしコントロールすることは不可能である。なぜならスタンダードとされる文言にこれだけ反しているからである。われわれは巨額のシステム投資を理由なく求めることはなく、社内的対策として業務関連情報の取り扱い規範たるポリシーの策定をもって、リスクマネジメントを行うことに着手したい。ついてはそのプランの承認と、成果物の承認をお願いしたい」と切り出してはどうだろうか。「やめてくれ」といわれる可能性は極めて低いだろう。
これによってポリシーの第1段階の案が承認されれば、個人の責任が明確化できることになる。つまり1つのドキュメントが組織を巻き込む、「だれ1人として例外ではない」規範として機能することにもつながる。筆者の推奨する手段としては、前段落までのような切り口や方法をもって、業務関連情報に対する個人の責任の明確化を図り、従業員のリテラシ向上を喚起することにある。これは決して欧米式の個人責任主義の直輸入ではなく、いままで逃げ続けてきた責任の所在の明確化を自らの手法で実現することに意味がある。それによりポリシーの実効性は大きく担保されることが望める。
| 時間がかかっても自社のポリシーは自社で改訂する |
ここまでできてくると、少なからず組織の実態を反映するものになっているはずである。「守れない・物足りない・実体を反映しきれていない・漏れている」についてポリシー策定部会を持つことはやぶさかではないはずだ。
ポリシー策定部会はポリシー策定のメンバーのほか、問題意識や不満を持っている人にどんどん参加してもらうのがよい。問題や不満は抑え込むのではなく、好きなように忌憚(きたん)なく話してもらうのが有益で、そうすることで現在の組織に対してどの程度フィットしたポリシーになっているか、どのような不満が出るのか、という意見を効果的に吸い上げることができる。このような部会を1〜2回持つと、ポリシースタンダードに書かれたことを基に、精度の高いプロシージャ(セキュリティを実践するための手順書)を作成することができる。
精度が高いプロシージャとはいえ、通常の企業では業務の形式が変化したり、新規の事業が立ち上がるなど、日常的に情報の流れが変化する。その変化に対応するものが、ポリシーの改訂作業であり、自社でするべき仕事であろう。改訂作業によってPDCAサイクルを実現するとともに、従業員への改訂報告や説明によってリマインド効果が少なからず望める。そうして情報セキュリティに関する従業員の意識は高められることが期待できるのである。
最後になるが、自前のポリシーが機能しているところに、もはやセキュリティ専門家の口を挟む余地はないというといい過ぎであるが、自分たちでリスクを負い責任を持って行っているところに、業務を理解しない専門家が金を取って口を挟む必然性は存在しないといってもよいだろう。これがまさしくコストパフォーマンスの高い自家製ソリューションの極致であり、筆者の勧めるスローポリシーである。記事を通じては繰り返しになるかもしれないが、現在情報セキュリティポリシーがないといわれる企業には、実際にはネットワークでの利用を想定した部分が抜けているだけで、文書の機密区分などではすでに示されており、ポリシーとして機能するものがすでに存在している場合がある。
これからの情報セキュリティポリシーには、業務の性質上不可欠なネットワークシステムの利用を考慮したものを付記するという位置付けになるのだと感じている。ところが現在の企業の運営方式を反映したビジネスルールが存在していないために、多くの実務担当者は規範となるべきサンプルや、短時間で形になるソリューションを期待する傾向がある。それが実効性のあるものに仕上がるかどうかは、前回までで述べたとおりであり、期待をするべきではないだろう。質の高いポリシーは存在するのが自然なことであって、いままでの社内規程がそうであるように、情報セキュリティポリシーは質が揃わなくてはならない。何が規範となるべきか明確にユーザーが判断できる状態ではない現状では、ユーザー自身による密な時間と作業によるたまものが必要である。それをいまはスローポリシーと呼び、私の勧めるものである。
本稿の執筆に当たり、エグゼクティブが「セキュリティは高いばかりで、導入に踏み切れない」という認識を少しでも払拭できればと思いつつ、この稿を終えることとする。「セキュリティはある程度の経費と時間が掛かるが、本質的な企業資産および経営を守ることにつながる」ことを多くの方に理解していただき、広く世の中の標準知識として実現してくれればと切に願う。
 「第2回」へ |
| Profile |
| 宇崎 俊介(うざき しゅんすけ)
株式会社ネットマークス ネットワークセキュリティ事業部 プロフェッショナルサービス室所属。情報セキュリティ全般を守備範囲とするコンサルタント。ISMS、BS7799、FISCのコンサルティングからセキュリティ診断・テキスト執筆・情報セキュリティポリシー策定まで幅広く担当。JNSA(日本ネットワークセキュリティ協会)ではISO/IECに関するWGや、関連法規の政策部会にて活動中。好きな言葉「食べ放題」。 |
| 関連記事 | |
| 実践!情報セキュリティポリシー運用 | |
| セキュリティポリシー策定に役立つ4冊! | |
| 情報セキュリティマネジメントシステム基礎講座 | |
| 開発者が押さえておくべきセキュリティ標準規格動向 |
 |
「特集 スローポリシーのススメ」 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
