ITpro Special ITpro
カーネギーメロン大学日本校主催 日本ヒューレット・パッカード共催 第1回情報セキュリティセミナーレポート これからの情報セキュリティリーダーに向けて~米日CISO最新事情

 ITの利活用が進む中で,高度なセキュリティを備えたIT基盤を構築するためには,組織横断での総合的能力を有する実務家を養成することが必須である。こうした実務家としての「CISO(Chief Information Security Officer)」育成を促進するため,世界的な情報セキュリティ教育機関カーネギーメロン大学日本校と日本ヒューレット・パッカードの共催で,情報セキュリティセミナーが開催されている。3月26日に開かれた第1回セミナーでは,これからの情報セキュリティリーダーに向けた様々な視点からの報告が行われた。
情報セキュリティにおける「責任」を考察

 セミナーは,カーネギーメロン大学公共政策学部助教授のDr.Rahul Telang氏による講演「Information Security and Management's Role」で幕を開けた。Telang氏は「シニアマネジメントの役割は,セキュリティ侵害された際のコンティンジェンシー・プランだ。しかし,問題発生時の責任は誰が負うべきかという点は依然としてマネジメント課題である。情報セキュリティに関する意思決定が複数の関係者に分けて担われている現状では,一方の決定が他方に影響する。このような中,どうすれば正しい決定ができるのか」と問題を提起した。情報セキュリティは目に見えず,技術的な知識も要求されるため,CEOとCISO(Chief Information Security Officer:情報セキュリティ統括責任者)の考えの不一致が起こりやすい。また,情報セキュリティは各組織や企業ごとに整備されているため,お互いがネットワークで連携している場合,最も弱い部分が全体のセキュリティ強度となる。最近では,ネットワークによる企業間連携が進んでおり,1社の投資や対策が弱かった場合,ほかの企業が大きな打撃を受ける可能性もある。

 「例えば,DoS攻撃はゾンビと呼ばれる,乗っ取られたPCから行われますが,その責任は誰がとるべきなのでしょうか。対策を怠ったユーザーか,脆弱性のあるソフトウエアを開発したベンダーか,それともISPでしょうか」(Telang氏)。米国ではトランザクション・コストが相対的に高い場合,最も安いコストで責任がとれる関係者(ここではISP)がコスト負担すべきだという論調が強い。

 こうした責任の問題を考慮しながら,企業や組織の情報セキュリティを高めていくにはどうすればいいのか。ソフトウエアベンダーの責任が法的に追及されることはないが,脆弱性が明らかになれば株価は暴落する。ユーザー企業の機密情報漏えいが起こった際はなおさらである。このような市場のメカニズムによって,ベンダーは対応を迫られるため,ベンダーの脆弱性開示は,情報セキュリティ向上に結果として貢献することになるだろう。プライバシー認証制度などの自主的な規制やコモン・クライテリアなどのスタンダードの企業・組織側での採用も効果的だ。このようにマーケットのメカニズムがドライバとなり,情報セキュリティ対策が強化される。「情報セキュリティは今後も重要なビジネスドメインであり,シニアマネジメントは適切な戦略策定に関与するべきだ。また,複数のパーティや相互依存性の課題がマネジメントのキーの課題になるだろう」とTelang氏は述べた。
カーネギーメロン大学 公共政策学部助教授 (カーネギーメロン大学日本校教授) Dr.Rahul Telang氏

カーネギーメロン大学
公共政策学部助教授
(カーネギーメロン大学日本校教授)
Dr.Rahul Telang氏

 

企業情報セキュリティに必要な「ITガバナンス」と「エンタープライズ・アーキテクチャ」の視点

日本ヒューレット・パッカード株式会社 コンサルティング・インテグレーション統括本部 シニア・ソリューション・アーキテクト 藤田 政士氏

日本ヒューレット・パッカード
株式会社
コンサルティング・
インテグレーション統括本部
シニア・ソリューション・
アーキテクト
藤田 政士氏
 続いて,日本ヒューレット・パッカードの藤田政士氏が「企業情報セキュリティ・アーキテクチャの考え方」と題して講演した。藤田氏は「情報セキュリティはコスト,品質,納期とのバランスを考える必要があります。また,合理的な対応を行うためには,利害が異なるステークホルダー間の調整(ガバナンス)機能が必要になるので,全社レベルでどうあるべきかを定義する必要がある」と述べた。情報セキュリティ対応の実装は,効果と効率を最大化するため,ITシステムにあらかじめ組み込まれていることが望ましい。セキュリティ対応は,その利用形態を考慮し,全社的かつ長期的な視点での設計が必要になる。

 セキュリティは,「機密性」「一貫性」「可用性」のトレードオフの上で成り立っているといえるが,場合によっては相反するので調整が必要になる。その仕組みが「ITガバナンス」だ。「ITガバナンス」は,IT利用における明確な方向性や判断基準を提示するものだ。一方,ITアーキテクトはセキュリティを過小評価しがちで,セキュリティ担当者は「エンタープライズ・アーキテクチャ(EA)」策定に参加していないことが多い。例えば,IT利用は「ID+パスワード」をベースにしており,利用者とアプリケーションやデータとの関係が基本である。つまり,企業でのIT利用方式におけるヒトとITリソース間の関係の原則化・ルール化が必要であるが,EAをベースとして全社・長期的な視点で,この関係が検討されているケースは残念ながら国内では少ない。

 「ヒューレット・パッカードは1980年代後半に情報システム原則を策定,複数のカテゴリーに分け,さらに詳細化,2000年代にEAと連携,セキュリティを組み込んだITガバナンスを確立しています」(藤田氏)。同社のITガバナンスは,(1)全社で標準化された方式でIT利用を行うことがIT原則の中で定義され,ITに関する標準プロセスも定義,(2)ITプロセスも一般のビジネスプロセスに関するガバナンスと同じ統制を受ける,(3)ITに関するポリシーや標準・規定はWebで公開,(4)合併を機に,EAとしてITに関するプロセスとフレームワークを再定義,(5)EAのフレームワークの利用で,ITガバナンスとEAを一体化して進行,という特長を持っている。その上で,EAは6つのレイヤーで構成され,ITに関するポリシーやスタンダードをセキュリティやテクノロジ,開発方式を提示。これらに基づきITシステムの構築,ITサービスの提供・管理が行われている。情報セキュリティを全社が使用する共通のインフラとして位置づけている。

ヒューレット・パッカードのEAドメイン・フレームワーク
■ ヒューレット・パッカードのEAドメイン・フレームワーク

 このように,同社は全社セキュリティ戦略の前提となるITガバナンスを明確化。IT利用の全てを対象に全社で標準化し,強い強制力を持たせてセキュリティレベルを設定している。またライフサイクル全般にわたる企画・開発・運用・モニタリングの全フェーズで統制することで一貫性を確保し,CISOが説明責任を担う全社セキュリティの運用状況に関しても,独立した内部監査チームによる監査を実施している。加えて,セキュリティに必要なITアーキテクチャも明確にし,重要な全社標準のインフラとして定義すると共に,プロアクティブなセキュリティサービスを提供,ID・パスワードの最小化など標準性を追求したシンプルなモデルを実現し,IT全体の俊敏性を高めている。「企業内でリスク対応としてのセキュリティが有効であるためには,ITガバナンスと全社アーキテクチャの整備が前提になります」と藤田氏は強調して講演を終えた。


CISOの役割を認知させていくことが求められている

内閣官房 情報セキュリティセンター 参事官補佐 佐藤 慶浩氏

内閣官房
情報セキュリティセンター
参事官補佐
佐藤 慶浩氏
 最後に,パネルディスカッションが行われ,これからのCISOについて議論が交わされた。まず,内閣官房の佐藤慶浩氏より政府が作成した「政府機関統一基準」について説明された。佐藤氏は政府機関以外で活用するに当たって,「対策基準の作成は,対象範囲を定め,その対象に関連する規定との位置づけを決めることが必要」だと指摘。その上で,「人が対策を実施する」「体系化して網羅性を高める」「業務上の立場と対策上の役割を区別して認識する」の3点をポイントとして挙げた。さらに,対策基準作成時には,JIS X 27002:2006や政府機関統一基準の資料などの参考資料を活用すべきとした上で,日本政府は内閣制なのでこれらはグループ企業ポリシーであり,その点に留意して統一基準を参考にしてほしいと話した。そして,佐藤氏は「経営者は(1)守れるルールだけが守られる,(2)性善説を前提とし性悪説も想定,(3)情報は活用するためにある,(4)コスト低減に貢献しないセキュリティ対策は要注意の4点に注意する必要があります」と強調した。

 討論では,モデレーターのカーネギーメロン大学日本校教授のDr.武田圭史氏からの「CISOは企業・組織にどの程度浸透しているのか」との問いに対して,佐藤氏より「政府機関では2006年4月からの年度で初めて打ち出され,ようやく1サイクルが終了する段階で,評価はこれから。国内では,CIOを決める段階にある企業が多く,CISOは次のステップか,CIOと同時に決めることになるでしょう」との答えがあった。また,Dr.Telang氏は「米国ではCISOは大企業が始めたもので,中小企業にCISOはほとんどいません。今後,セキュリティがITに取り込まれていく中では,その役割が大きくなっていくでしょう」と話した。

 情報セキュリティリーダーであるCISOは,今後ますますその役割の重要性が増していく。「情報セキュリティセミナー」第1回では,その社会的背景や日米両国の動向が紹介された。次回以降はさらに具体的なCISOの責任や,求められるスキルについて取り上げられる予定だ。
カーネギーメロン大学 日本校教授 Dr.武田 圭史氏

カーネギーメロン大学
日本校教授
Dr.武田 圭史氏


CONTENTS
情報セキュリティにおける「責任」を考察

企業情報セキュリティに必要な「ITガバナンス」と「エンタープライズ・アーキテクチャ」の視点

CISOの役割を認知させていくことが求められている
関連リンク
カーネギーメロン大学日本校

日本ヒューレット・パッカード株式会社

内閣官房情報セキュリティセンター

ITproについて会員登録・メールマガジン購読ITproプレミアム(有料サービス)MyITproについてITpro Researchについて
ITproへのお問い合わせ・ご意見日経BP書店日経BPケータイメニュー広告について
著作権リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用についてサイトマップ

日経BP社Copyright (C) 1995-2010 Nikkei Business Publications, Inc. All rights reserved.
このページに掲載されている記事・写真・図表などの無断転載を禁じます。著作権は日経BP社,またはその情報提供者に帰属します。
掲載している情報は,記事執筆時点のものです。