河野省二/ディアイティ セキュリティサービス事業部

 何かトラブルが起きるたびに「誰の責任だ!」なんて部長の怒鳴り声が聞こえてきます。これが部長の責任だったりすると大変で、部下は誰も何も言えません。それを見た部長はさらにヒートアップ。「だまってちゃわからんだろう!」なんて言われて、今回の生け贄は誰にするかの目配せが始まったりして・・・。よくある光景かどうかは別として、これを客観的に見ていると、色々な問題が浮かび上がってきます。

 1. 部長はなぜ、誰の責任か判断できないのか
 2. 誰の責任かがわかったら部長はどうするのか
 3. なぜトラブルを未然に防げなかったのか

 情報セキュリティ・マネジメントに関するコンサルティングをしていると、このような光景を目の当たりにすることが多く、ちゃんと対策できている企業は少ないんだなと実感します。さらに、そんな企業の多くがISMS認証を受けていたりすると、もっと基本となる考え方について検討しなくてはいけないなと考えさせられます。

セキュリティ強化の基本は責任分化

 情報セキュリティに限らず、リスク・マネジメントの基本は「責任の分化」です。内部統制、J-SOX法など、対応しなければならない事柄はいろいろありますが、これらも基本的には責任の分化だけ明確にしておけば十分に対応できるのではないかと考えています。

 では、ネットワーク・セキュリティの責任分化について考えてみましょう。ネットワーク・セキュリティを考える際,まず,「ゾーニング」を行います。ゾーニングとはネットワークの区画分けのことで,ルーターなどを利用してネットワークの管理単位を作っていると言ってもいいでしょう。そしてこの一つの区画をネットワーク・ゾーンと呼びます。このゾーニングが,ネットワーク・セキュリティの観点からも重要になります。


図1 ネットワークのゾーニング
[画像のクリックで拡大表示]

 例えば図1の中にある「エリア1」では,どのようなプロトコルで通信しても良いのでしょうか。また、エリア1にはどのような人が接続してもいいのでしょうか。そもそも、このエリア1は誰が利用することを前提に作られたネットワーク・ゾーンなのでしょうか。

 これらの情報が明確でなければ、いかに優秀な技術者といえどもセキュリティの設定はできません。ここで重要になるのが,ネットワーク構築と運用における責任です。


表1 ネットワーク構築と運用における責任
[画像のクリックで拡大表示]

 ネットワークを利用するまでのフェーズは,設計,構築,運用管理,利用の4段階に分けられます。利用を含んでいるのは、利用者にもネットワーク運用の責任があるからです。表1を見ると分かりますが、構築から利用までの3フェーズは、設計フェーズで決められたことを実行に移しているだけです。つまり、設計が正しくできていないと正しいセキュリティ対策を行うことができないということになります。部長が「誰の責任だ!」と叫んで、思わず目配せしてしまったのは、部長がネットワーク・オーナーだったからかも知れません。

ネットワーク・オーナーのお仕事

 セキュリティコンサルの現場でネットワーク図を見せていただきながらシステム部長にこんな質問をします。
--「このネットワーク・セグメントのオーナーは誰ですか」
多くのシステム部長はこう答えます。
--「え、ネットワーク・オーナー?」
質問の仕方が悪いわけではありません、気づきを促したのですが答えてもらえなかったので、質問を変えます。
--「ああ、すいません。このネットワーク・セグメントの責任者はどなたですか」
--「ああ、私です。ネットワーク全体を私が責任を持って運用しています」
責任者はシステム部長と言うことなので、以下の質問をテンプレートを利用して進めていきます。


表2 質問のテンプレート
[画像のクリックで拡大表示]

たったこれだけの質問ですが、明確に答えてもらうことができません。特にネットワークの帯域などについてはほとんどの方が答えられないのです。
事業継続管理(BCM)やサービス・レベル管理(SLM)に取り組んでいる企業であれば決まっていて当たり前の項目ですが、やはり答えていただけないのです。

トラブルは起きているのか

 ネットワークの帯域なんて決まっていなくても問題ないじゃないか、つながっていればいいんだよ。という声も聞こえてきそうですが、もちろんそれでも構いません。それでビジネスに支障がなければよいのだと思います。
しかしそれで何らかの影響が出てしまうのなら問題です。どのくらいの帯域が確保されていなければビジネスを続けることができないのでしょうか。

 「ビジネスを続けられないこと」イコール「トラブル」だとすれば、その基準がわかっていなければいけないということになります。つまり、正常値がわかっていなければ正しい対応ができないということになります。ネットワークの正常値ということで考えると、単純に○○Mビット/秒ということではなく、普段からの情報収集が重要なポイントになります。なぜなら、時間帯によってネットワークの利用率が変化するからです。これらを正しく捉えるには、1年に1~2回のペネトレーション・テストでなく、日常のネットワーク解析と統計が重要になってきます。

 情報セキュリティの強化は,このような責任の所在を明らかにし,ネットワークの実態を明らかにするところから始まります。その上で,事故が起きているかどうかの「判断基準」を明確にしなければなりません。次回は、情報セキュリティ対策を計画する前に必要なプロセスについて解説します。

 「情報セキュリティプランナーは見た!」は,ディアイティのセキュリティガバナンスビジネス部部長の河野 省二氏による技術コラムです。河野氏は,BS7799スペシャリストやCISSP,公認情報セキュリティ主任監査人などの資格を持つ,情報セキュリティの専門家です。日本セキュリティ監査協会(JASA)スキル部会の副部会長であり,同協会の監査人資格制度 研修・トレーニング講師や高度IT人材アカデミー 情報セキュリティ担当講師,(ISC)2 CISSPオフィシャルセミナー講師などを務めています。経済産業省の情報セキュリティガバナンス委員会にも参加されています。本コラムでは,情報セキュリティ対策やマネジメントに関する話題について,河野氏に分かりやすく解説していただきます。(編集部より)