情報セキュリティ・マネジメントの実施手順（前編）

筆者：株式会社タケキ IT教育事業部出口雄一

2007.06.13

ポイント

●情報セキュリティ・マネジメントはPDCAサイクルで実施する。適切でなくなった部分を修正して次世代（次のサイクル）のマネジメントに生かすことが，セキュリティ的な盲点をふさぐために有効な手段となる
●組織の情報セキュリティ上の弱点を抽出するために必要な作業が，リスク・アセスメントである。リスク・アセスメントとは，リスクを分析・評価することである
●リスク・アセスメント手法にはいくつかの種類がある。詳細にリスク・アセスメントを実施しようとすると多くの労力が必要となるため，「組み合わせアプローチ」が推奨されている

　情報セキュリティ・マネジメントを実施する際のモデルとなるISO/IEC27001またはJIS Q 27001の内容をひとことで表すと「情報セキュリティ・マネジメントはPDCAサイクルで実施しなさい」ということになります。詳細なマネジメント手順に関しては，これらの規約中で解説されていますが，この連載では大枠の手順とポイントとなる部分をピックアップして勉強します。

PDCAサイクルが基本となる実施手順

　前回の「情報セキュリティ・マネジメントとISMS」で勉強したISMS（information security management system：情報セキュリティ・マネジメントを実施する手順の規定）に関する国際標準ISO/IEC27001：2005と日本工業規格JIS Q 27001：2006は，情報セキュリティ・マネジメントの実施手順を規定しています。また，JIS Q 27001：2006は，日本で実施されているISMS適合性評価制度の基準となっています。どちらの内容もほぼ同等です。

　これら規約の内容を（少々強引ですが）一言で言い表すと，『情報セキュリティ・マネジメントはPDCAサイクルで実施しなさい』ということになります。PDCAサイクルとは，マネジメントの流れをPLAN－DO－CHECK－ACT（計画－実行－点検－処置）のフェーズに分け，これらを継続的に繰り返していくことです（図1）。

図1●PDCAサイクル

　PLAN（計画）のフェーズでは，組織のISMSを確立します。ここでは，組織内にある情報資産を洗い出し，リスク・アセスメント（後述）を実施し，組織の情報セキュリティ基本方針・目的・手順などを明確にしたうえで，規定（文書化）します。

　DO（実行）のフェーズでは，プランに基づき社員教育を実施するなど，ISMSを導入して運用します。

　CHECK（点検）のフェーズでは，セキュリティ違反やインシデントの発生を特定したり，計画に対する施策実行が妥当だったか，有効に機能したかなどの監査やレビューを実施します。

　ACT（処置）のフェーズでは，点検結果を基に，是正や予防措置を行い，次の計画（サイクル）に反映させます。

　この4つのフェーズの流れの中で特に着目しておきたいのは，ACTからPLANへの移行部分です。計画に対する施策実行が妥当でなかった部分や，有効に機能しなかった部分，そして時間が経過することによって適切でなくなった部分を修正して，次世代（次のサイクル）のマネジメントに生かすことが，セキュリティ的な盲点をふさぐために有効な手段となるからです。

参考：JIS Q 27001は，JIS Q 9001（品質マネジメントシステム），JIS Q 14001（環境マネジメントシステム）など，ほかのマネジメント・システムの規格とよく似たつくりになっています。なお，「JIS」と規格番号の間の記号（アルファベット）は，規格インデックスで，「Q」は管理システムを指します。ちなみに，よく目にする「X」は情報処理となっています。

リスク・アセスメントとは

　続いて，情報セキュリティ・マネジメントを進行する上で注目しておきたい項目を確認していきましょう。

　リスク・アセスメントとはリスクを分析し，評価することです。PDCAサイクルのP（PLAN）のフェーズで実施します。前回の「情報セキュリティ・マネジメントとISMS」で勉強したように，組織において既にセキュリティが確保できているところに対策を講じても，全体のセキュリティ・レベルの向上には繋がりません。組織の情報セキュリティに関する要素を統括的な視点で分析し，脆弱な部分を適切に見つけて対策を講じる必要があります。そのために，リスク・アセスメントが必要になります。

　リスク・アセスメント手法に関しては，国際標準ISO/IEC TR13335-3：1998，そしてこれの日本版である，標準報告書TR X 0036-3：2001で詳しく解説されています。リスク・アセスメントの主な手法としては，以下の4種類があります。

・ベースラインアプローチ
　一般に公開されている基準やガイドラインを基に，組織で確保すべきレベルを決定し，これと現状の乖離（かい離：ギャップ）を分析・評価します。

・非形式アプローチ（非公式アプローチ）
　基準やガイドラインを用いるのではなく，リスク・アセスメント担当者の知識や経験を基にリスク・アセスメントを実施します。分析者の偏見や主観が結果に影響を及ぼしやすいという欠点があります。

・詳細リスク分析
　組織あるいは対象システムに対して，詳細なリスク・アセスメントを実施します（後述）。

・組み合わせアプローチ
　各リスク・アセスメント手法は，それぞれに特徴があります。一般に分析コストと分析精度はトレードオフの関係にあります。そこで，情報資産の重要度に応じて適切なリスク・アセスメント手法を採用し，それらを組み合わせて全体のリスク・アセスメントを実施する手法です。