情報漏洩やサイバー攻撃が常態化している。こうした中、ITアーキテクトは企業全体のセキュリティガバナンスを考慮しつつ、情報ランクに応じた適切なシステム対応を実装する必要がある。
今回はITアーキテクトが実施すべきICTシステムのセキュリティを解説する。だが、セキュリティ対応には人間面と物理設備面、ICTシステム面の三つにおけるそれぞれの対応が統合されていることが欠かせないことを強調しておきたい。
セキュリティ対応にはランクがある
セキュリティガバナンスのベースとなるセキュリティポリシーや規程は、個人情報保護の「プライバシーマーク制度(Pマーク)」の取得や情報セキュリティマネジメント「ISMS(ISO/IEC 27000)」のプロセスが基本となる。ここで、それぞれの組織で守るべき情報を識別して、ランク付けすることがICTシステム対応の出発点になる。
守るべき情報には個人情報や秘密情報、関係者外秘の情報、社外秘の情報、公開情報などがある。さらに金融情報システムセンター(FISC)などの業種別基準を考慮して、最終的に決めていくとよいだろう。ICTシステムはこうした規程に沿ってプロセスを遂行することを支援する。
ICTシステムにおけるセキュリティ対応のコストには当然ながら限りがある。取り扱う情報ランクに応じて対応の強弱を付けることで、堅牢性と操作性とコストのバランスを取ることが欠かせない。情報ランクが低い順に並べると、例えば、eコマースなどインターネット(外部ネットワーク)からアクセス可能な情報、従業員が通常扱う情報、特定の部門のみ扱える情報、漏洩時のビジネス影響が特に大きな情報――などになるだろう。
一方、ICTシステムで導入する機器やその配置、プログラミングについても、情報ランク別の対策を検討する。アイ・エス・レーティングなどの企業セキュリティレベルを格付け評価する組織によるレベル感や、情報処理推進機構(IPA)の「情報セキュリティ対策ベンチマーク」などが参考になるだろう。
さらにクレジットカードを扱うための実装リファレンスである「PCI-DSS(Payment Card Industry Data Security Standard)」などを参考にしながら、クライアント端末やネットワーク、サーバーのそれぞれでどう実装するかを決めていく。こうして、情報の分類にひも付く要件からランク別実装までを、論理的に組み上げることができるだろう。
