自主性が要求されるセキュリティ対策の新ガイドライン
2002/2/5
情報システムのセキュリティ対策やマネジメントの規格に関して、国内外でさまざまな取り組みが進んでいる。日本では、国際標準のISO/IEC 17799:2000が国内JIS規格として制定されることになっており、それと同時に、セキュリティ管理に対する第三者認証制度、「情報セキュリティマネジメントシステム(ISMS)適合性評価制度」の制定も進められている。日本における、情報システムの安全対策基準およびその認証基準の歴史は、1977年に端を発する。この年に告示された「電子計算機システム安全対策基準」は、その後3回の改定を経て、1995年に「情報システム安全対策基準」と名称を変え、情報システムのセキュリティ対策実施の際に参照されてきた。この基準を認証する制度は、「情報処理サービス業情報処理システム安全対策実施事業所認定制度」(以下、安対制度)と呼ばれた。
だが、近年の急速なインターネットの浸透と情報システム関連技術の革新により、多様化する被害に対応するために、新しい認証基準がISO/IEC 17799:2000を基に作成されることとなった。それがISMSである。そのため、経済産業省は2001年3月をもって安対制度を廃止し、認証制度は全面的にISMSへ移行する体制をとっている。
ISMSの運用・維持管理を担当する財団法人 日本情報処理開発協会(JIPDEC)が2月4日に開催した「情報セキュリティマネジメントに関するシンポジウム」において、安対制度と比較しながらISMSを紹介した社団法人 情報サービス産業協会 セキュリティ委員会 セキュリティ評価基準調査部会 部会長 中村達氏(アイネス 技術部マネージャー)は、ISMSの最大の特徴を、「自主性」と言う。これまでの安対制度では、定められた基準を実施すればよかったが、ISMSでは、自社に適したものを選択して(=ポリシー策定)、自分たちの責任で決めることが要求される。具体的には、ポリシー策定→ISMS適用範囲決定→リスク評価→管理リスク決定→管理策決定を経て、実施に至ることになる。安対制度が、適用範囲決定→基準適用→実施の3ステップだったこととを考えると、関係者はより深い調査作業が必要となる。
実際の対策に関しても、違いは多い。中村氏は例として、セキュリティポリシー策定、技術対策に加えセキュリティ組織体制化による人的対策、管理情報範囲の拡大などを挙げた。セキュリティポリシーに関しては、基本方針(組織としてのセキュリティ対策の基本方針)、スタンダード(適用者ごと(例:情報システム部門用、全社員用など)に守るべきルールを決める)、プロシージャ(作業を進める上での手順および規程書)の3階層で構成し、対象を情報資産全体として策定することが求められるという。
また、安対制度にはない新たな項目に、事業継続管理がある。これは、システムダウン時に組織全体がビジネス継続を維持するための手順や対策を明確にすることだが、それにあたっては、リスク分析や評価、代替手段の検討とその際のリスク評価、問題発生に関するシナリオ作りなどの事項について策を定めることが必要となる。
これまで、情報セキュリティ対策は情報システム部が情報システム施設内で運営してきた。だが、ネットワーク化に伴い、ネットワーク経由で情報システムを利用するオフィス全体に情報セキュリティ対策を拡大させていかなければならない。また、企業間の取り引きの電子化という傾向を考慮すると、顧客も対策の対象になってくるだろう。情報システム部がやるべきことは、量・質ともに増加する一方だ。
ISMSを「包括的なセキュリティ対策を可能にする」と評価する中村氏は、「日本的発想に基づいた安対制度と、イギリス的発想に基づくISMSとは違いが多い。だが、今日の情報セキュリティが面している危機に対応するため、また国際的に事業展開するためには、ISMSの適用は必須。まずは、両者の違いを知って新制度への適用に何が不足しているのかを知ることが重要ではないか」と提案した。
ISMSは、現在はパイロット事業運営段階だが、今年4月にも本格運用に入ることになっている。
(編集局 末岡洋子)
[関連リンク]
JIPDEC
ISMSに関するページ
[関連記事]
JIPDECがISMSガイドを公開、意見を募集
(@ITNews)
開発者が押さえておくべきセキュリティ標準規格動向
(Security&Trust)
セキュリティポリシーの国際標準、BS7799とは何か?
(@ITNews)
セキュリティポリシーで事業を守れ
(NewsInsight)
セキュリティポリシー策定の問題点を解消したツール、アズジェント
(@ITNews)
情報をお寄せください:
最新記事
|
|