監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・河野省二(ディアイティ セキュリティビジネス推進室 室長)
リスク分析の目的は、リスク(損失が生じる可能性)が、どこにどのくらいの大きさで存在するかを知ることであり、その結果を利用してセキュリティ対策のためのスケジュールを組み立てるのに役立てます。
実は、リスク分析にはもっと大きなメリットもあります。それは関係者の全員参加を促すことができるということです。詳細なリスク分析を行うには、情報資産(前回のコラム参照)を管理したり利用する人たちがどのように対応しているのかを知ることが重要であり、それを行うことでセキュリティに対する関心を深め、抑止力とする事ができるのです。
■リスク分析の種類
リスク分析にはいろいろな種類がありますが、定番と呼ばれるものはありません。ここではGMITS(ISO/IEC TR 13335)で紹介されている4つの方法を紹介します(図1参照)。| ■図1 GMITSで紹介されているリスク分析手法 | ||||||||||
|
今回はリスク分析のはじめの一歩と言うことで、簡単なアンケートによるベースラインアプローチの手順を紹介します。
さて、実際にアンケートをするといっても、それほど簡単ではありません。質問項目を作るにはセキュリティに関する知識が必要ですし、現場のイメージを把握しておくことも必要です。よそから持ってきたアンケートをそのまま取り入れても、あまり効果的ではありません。
そこでリファレンスとして利用するのが、それぞれの組織が作成したセキュリティ対策基準(スタンダードとも呼ばれる)です。あなたの組織のセキュリティ対策基準には、守るべき様々な項目が分類されて列記されているはずです。これを基に、アンケートを作成することが可能です。
もしもまだ、情報セキュリティ対策基準を策定していないのであれば、経済産業省の情報セキュリティ監査制度の別添資料となっている「情報セキュリティ管理基準」を利用するのがよいでしょう。情報セキュリティ管理基準は、JIS X 5080に示されるベストプラクティスを1000近くの管理策に細分化したもので、これからセキュリティマネジメントに真剣に取り組もうとしている方の助けとなるでしょう。
■情報セキュリティ管理基準を利用したアンケート
それでは、経産省の情報セキュリティ管理基準を使った簡単なアンケートによるベースラインアプローチを行ってみましょう。情報セキュリティ管理基準は、10個のパートに分かれています。それぞれが独立した章立てとなっていますので、目的(適用範囲)に応じて内容を抽出すると良いでしょう。
経済産業省の「情報セキュリティ監査制度」のページでは、編集可能なファイルとして情報セキュリティ管理基準が公開されています。ここから、アンケートを作りやすいようにエクセル形式のファイルをダウンロードする事にします。
このファイルを見ると分かるように、セキュリティの管理策は「コントロール」と「サブコントロール」に分かれています。「コントロール」は、ISMS認証でいうところの「適用宣言書」の項目に相当するもので、「サブコントロール」はこれらを全うするための具体的な管理策となっています(これをそのままアンケートとしても構わないのですが、すべてのスタッフを対象とした場合には、質問数も多すぎ、所属部署によっては内容がそぐわない部分も出てきてしまいます)。
今回はすべてのスタッフにアンケートを行うことを目標に、認証を中心とした管理策(コントロール)を抜き出すことにしましょう。主に第7章(7.1~7.8)を参照するとよいでしょう。
最初から情報セキュリティ管理基準の「サブコントロール」すべてをチェックしてアンケートを作成してもよいのですが、それでは余りに時間がかかり過ぎてしまいます。まずは「コントロール」の項目を検討することにしましょう。
「コントロール」は数字が3つ並んでいる項目です。たとえば、第7章には
| 7.2.1. 複数の利用者をもつすべての情報システム及びサービスについて、それらへのアクセスを許可するための、正規の利用者登録及び登録削除の手続きがあること |
という項目があります。このレイヤーが「コントロール」です。この「コントロール」で掲げられている管理策を具体的に実行するための詳細管理策を「サブコントロール」と言い、情報セキュリティ管理基準では4つの数字が並んだ形で記載されています。
まず、「コントロール」からアンケートで使う項目を選び出し、その下の「サブコントロール」を参照してアンケートを作成していきます。「コントロール」だけを抽出したファイルを用意しましたので、これを利用して必要な項目を抜き出すのに役立てて下さい。
「サブコントロール」を眺めていただくと分かると思いますが、文章が分かりにくい部分があります。できる限り汎用的に使えるように配慮していることが、かえって解りにくくしているのです。アンケートを作成するときには、この文章のまま利用しなくても構いません。アンケートにおいて重要なのは、回答者が設問を正しく理解することであり、それに対して正しい回答をすることだからです。
先ほど選択したコントロール7.2.1の中にある「サブコントロール」の一つを例に、アンケートらしい文章に変更してみます。
| 原文) | 7.2.1.9. 利用者登録手続において、アクセス権の宣言書を利用者に発行すること |
 |
|
| 修正後) | あなたは、IDの発行時字に配布されたアクセス宣言書をいつでも見られる場所に保管していますか |
この管理策(7.2.1.9.)を採用している組織の場合、利用者には、登録手続きの時にアクセス権の宣言書が発行されるようになっているはずです。アクセス権の宣言書というのは、サーバなどにおいて、どのようなアクセス権が設定されているのかを明確にするための文書であり、利用者はこの内容について正しく理解していなければいけません。つまり、利用者はアクセス権の宣言書がどこにあって、何が書かれているのかを知らなければいけないのです。
いかがでしょうか。これで少しは解りやすくなったのではないかと思います。
では、この質問項目についての回答欄を作成することにしましょう。答えやすいアンケートを前提としますので、回答の選択肢も分かりやすく「はい」「いいえ」「部分的に実施している」の3つとします。さらに、ここで「はい」以外を選択された方には、その理由を書いていただくことにします。
これで一問完成です。
あとは同様の作業を繰り返し、必要なだけ設問を作成します。ただし、あまり多く作りすぎても回答者のレスポンスが悪くなり、かえって非効率になりますので気をつけて下さい。
こうして作成したアンケートは、みなさんの組織の短期的な目標を兼ねたセキュリティポリシーとすることもできます。
逆に言うと、すでにセキュリティポリシーを策定している組織のみなさんは、アンケート実施の前に、質問項目がセキュリティポリシーに準拠しているかを確認する必要があるということです。セキュリティポリシーの見直しは怠りがちですが、こうしてアンケートなどを実施することで、定期的に確認することが可能です。
どのようなアンケートができるかは、みなさんの環境に依存しますが、対象となるすべての方に理解していただきやすいアンケートを作成することで、それがセキュリティ・リテラシーの啓もうにもなります。その結果として、ヒューマン・エラーの抑止力となるでしょう。
|
|
