監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・吉田裕美(ジェイエムシーCRS本部販売グループ サブマネージャー)

 今回は、「情報セキュリティ運営委員会」について解説します。情報セキュリティ運営委員会とは、情報セキュリティ対策を組織的かつ効果的に管理することを目的とした庁内(社内)組織で、「情報セキュリティ管理基準」(経済産業省)において設置するよう求められているものです(同基準コントロール2.1「情報セキュリティ基盤」)。

■情報セキュリティ運営委員会の結成

 情報セキュリティ運営委員会は、CIO(最高情報責任者)あるいはCISO(Chief  information Security Officer、情報セキュリティ管理最高責任者)を中心とし た、組織横断型の委員会です。ちなみに、CISOとは、トップマネジメントの組織理念を反映し、セキュリティを策定する責任者です。会社に蓄えられた情報を管理して、情報資産を運用します。

 情報セキュリティ対策は、一部の部署や人で行うものではなく、組織全体で取り組むべき課題であることは、本連載の中でも述べてきました。

 情報セキュリティ運営委員会は、組織全体のリスクを把握し、セキュリティ対策が決められた通りに行われているかを確認し、問題が起こった時(セキュリティ事故や、新しい脅威、新しい法令等)に速やかに対応し、決断するために存在します。

 情報セキュリティ対策は、バランスが必要です。一部の対策のみに過剰な投資をしても、あまり意味がありません。「わが組織のセキュリティレベルは何点くらいでしょうか」ということを尋ねられることがあります。そうした時には「あなたの組織で最も弱い部分が点数です」とお答えしています。

 情報セキュリティ運営委員会は、常に組織のセキュリティレベルを把握し、目的に向かって組織全体を引っ張ってゆく必要があります。

 総務省発行の「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、策定のための、組織・体制について以下のように述べています。

 ポリシー策定時に、組織の幹部の関与を明確にするとともにその責任の所在を明確にするため、関係部局の長、情報システムの管理者及び情報セキュリティに関する専門知識を有する者などで構成する組織「情報セキュリティ委員会」を設け、長としてCIO(Chief Information Officerの略。最高情報統括責任者。組織における情報活用を管理監督する職務を担う役員のこと。)を任命する必要がある。このため、ポリシーには、情報セキュリティ委員会の目的、権限、名称、業務、構成員等を定める。ポリシーでは組織内の様々な情報に係る問題を取り扱うことから、すべての部局等の関係者がこれにかかわることが考えられるが、中心的な構成員としては次のような関係者を含むことが考えられる。

  • 情報システム関係者(LAN管理担当課等)
  • 技術関係(内外の技術的知識を有する専門家等)
  • 監査関係(政策行政評価、内部監査等を行う課又は総務課等)
  • 文書関係課
  • 人事関係課
  • 会計関係課
  • 広報関係課
  • 庁舎管理担当課

 また、ポリシー策定について、各部署の情報セキュテリィ担当者となり得る者を体制に組み込むほか、必要に応じて職員からの意見を聴取し疑問点に対し、的確に説明できるようにする等、策定段階からポリシーが職員に理解されるような環境を醸成することが重要である。

 なお、情報セキュリティ委員会による承認を受け、ポリシー策定作業の一部を下部の組織(策定作業班)に行わせることができる。やむを得ない場合、この策定作業班に外部の者を含めることができる。ただし、情報セキュリティ委員会の構成員となった外部の専門家及びポリシー策定作業に関与した外部の者には、当該案件に関し職員と同じ守秘義務を課す必要がある。

(筆者注) 職員からの意見を聴取に関しては、本コラムの「第2回 全員参加のセキュリティ対策を目指して」、外部者の管理については「第4回第5回 外部委託管理」を参考にしていただければと思います。

 ほとんどの組織が、セキュリティポリシー策定時の「情報セキュリティ委員会」がそのまま、初期の「運営委員会」となりますので、本題について考える場合は、策定時から、実際の運用、確認、見直しまで考え、組織を作ることが望ましいでしょう。

 ポイントは、狭い範囲ではなく、横断的な組織を作ることであり、情報システム部門に任せきりにしてはいけません。また、情報セキュリティ運営委員会の存在と、その目的、各役割は、職員皆が掌握していなければ意味がありません。参考例として情報セキュリティ運営委員会の組織構成例を以下に示してみました。

■情報セキュリティ運営委員会の体制(参考例)
情報セキュリティ運営委員会の体制(参考例)

民間企業の場合などは、業態によって、運営委員会の作り方が異なり、ある意味この組織の体制作りそのものが、企業の情報セキュリティに対する姿勢を表しているといえる。

■責任と権限の明確化 ~情報セキュリティ運営委員会の責任分担~

 「セキュリティ管理基準」2.1.2.1には、「運営委員会は適切な責任分担及び十分な資源配分によって、セキュリティを促進すること」とあります。これは、どうのようなことを言っているのでしょう。

 まず「適切な責任分担」とは何でしょうか。これは、(1)役職(役割)に対する責任と権限の明確化 (2)各情報資産ごとの管理責任者の明確化の二つが挙げられます。

 また、「十分な資源配分」といっても、どこまでも終わりのないセキュリティ対策において「何をもって十分と言うのか」と首をかしげる方もいるかもしれません。

 この「十分な」という言葉の意味は、人・物・金を過剰投資するのではなく、基本方針にのっとり、計画どおり行われているか、促しているか、また目的・目標に向かっているかなど、委員会が機能するための資源を確保することを言っています。ですから、各組織によって、具体的資源の配分には、差が出ることになりますし、状況によって変化もすることもあります。

 では次に、先ほど参考例にあげた情報セキュリティ運営委員会の体制図をもとに、責任分担の例を記載したいと思います。

a.CIO(最高情報統括責任者)
 市の情報セキュテリィに関するすべての権限を有する最高責任者として、以下の事項を統括する。
  1. 推進本部会議の招集に関する事項
  2. 情報セキュリティ監査に関する事項
  3. 情報セキュリティ監査委員の選任に関する事項
  4. その他情報セキュリティ対策の総合的な企画及び実施に関する事項
b.推進本部
 市の情報セキュリティに関する最高決定機関として、統括責任者の指示に基づき、以下の事項を所掌する。
  1. 情報セキュリティに関する調査及び研究に関する事項
  2. 情報セキュリティ対策実施に関する事項 (
  3. セキュリティポリシーの策定、運用、評価及び見直しに関する事項
  4. 情報セキュリティに関する研修計画の承認に関する事項
c.情報セキュリティ推進作業部会
 推進本部の円滑かつ効率的な運営をはかるため、推進本部の支持により、以下の事項を所掌する。
  1. 情報セキュテリィに関する調査および研究に関する事項
  2. セキュリティポリシーの策定、運用、評価及び見直しに関する調査、検討及び調査に関する事項
  3. 情報セキュリティ対策実施の検討に関する事項
  4. 情報セキュリティに関する研修の検討に関する事項
d.情報セキュリティ監査委員会
  市の情報セキュリティに関する監査機関として、統括責任者の指示に基づき、以下の事項を担当する。
  1. 情報セキュテリィ内部監査の計画、実施、報告及び勧告に関する事項
e.各課の課長および職員
  1. 情報セキュリティ対策の遵守
  2. 情報セキュリティ事故発生時の報告
  3. 情報セキュテリィ監査への協力
  4. セキュリティポリシーの策定、運用、評価及び見直しに関する調査、検討及び調査への協力
  5. 実施手順の作成および管理
  6. 記録の管理
f (その他).情報セキュリティ対策に関する分担事項および責務
 情報資産ごとの情報セキュリティ対策に関する担当事項および責務に関しては、「情報セキュリティ業務分掌職務権限一覧表」を作成し、定めるものとする。

 なお、「情報セキュリティ管理基準」(経済産業省)では、運営委員会の役割として、セキュリティの促進(2.1.2.1)、重大な脅威へさらされることへの変化の監視(2.1.2.3)、事件事故の見直しおよび監視(2.1.2.4)、情報セキュリティ強化の発議(2.1.2.5)など記されていますが、これらを監査に備え実装するに当たって具体的にイメージしにくいかもしれません。その場合は、ISMS(情報セキュリティマネジメントシステム)認証基準Ver.2.0のマネジメントレビュー部分(このうちのレビューへのインプット/レビューからのアウトプット)を参考にするとよいでしょう。

●マネジメントレビューへのインプット
 マネジメントレビューへのインプットには次の情報を含めること。
  1. 監査及びレビューの結果。
  2. 利害関係者からのフィードバック。
  3. ISMSの実施状況及び有効性を改善するために組織において利用可能な技術、製品又は手順。
  4. 予防処置及び是正処理の状況。
  5. 過去のリスクアセスメントで適切に取り扱われなかった脆弱性又は脅威。
  6. 過去のマネジメントレビューの結果に対するフォローアップ。
  7. ISMSに影響を及ぼす可能性のある全ての変更。
  8. 改善のための提案。
●マネジメントレビューからのアウトプット
 マネジメントレビューからのアウトプットには、次の事項に関する決定及び処置を含めること。
  1. ISMSの有効性の改善。
  2. ISMSに影響を与える可能性のある内部又は外部の事象に対応するために必要に応じて加えられる、情報セキュリティを実現する手順の修正。それらの事象には、次の事項に対する変更が含まれる。

    (ア) 事業上の要求事項。
    (イ) 情報セキュリティ要求事項。
    (ウ) 既存の事業上の要求事項を満たす業務プロセス。
    (エ) 規制環境又は法的環境。
    (オ) リスクの度合い及びリスク受容の水準。

  3. 必要となる経営資源。
※「ISMS認証基準Ver.2.0」より

◆        ◆        ◆

 以上、情報セキュリティ運営委員会について、イメージしていただけましたでしょうか。委員会の存在は、情報セキュリティの向上に関して、大きく影響を及ぼすと筆者は考えております。ご存知のとおり、情報セキュリティ対策においては、継続的に、確認・見直し・実行する仕組みが必要ですから、全体を把握すること、現状の問題点を把握することがまずは必要です。そしてまた、変化する環境の中、目的にむかって正しく進んでいかなくてはなりません。そのためには、組織全体を見渡せる横断的組織が必要になってくるわけです。

 高価な対策製品を導入しても、大掛かりな認証のしくみを取り入れたとしても、それらが本当に効果的に使用されているのか、効果をもたらしているのか組織として把握されていなければ、やがて「ひずみ」が発生し、そこが新たなセキュリティホールになる可能性もあります。

 ある組織では、職員が協力し合い、詳細リスク分析を経て、ポリシーを作成したものの、セキュリティ運営委員会が机上のものになってしまったため、ポリシーに基づく承認や監視、見直しができないということが起こったそうです。この委員会作り、つまりセキュリティ体制を維持していくには、やはり、トッブの意識がいかに重要かということを物語っています。

 セキュリティ監査の前に、職員に尋ねてみてはいかがでしょうか。「この組織の情報セキュリティ管理最高責任者って誰だか知っていますか?」と……。

情報セキュリティ監査制度(経済産業省) セキュリティ管理基準
「サブコントロール」解説コーナー(5)

2.1.5.5  職場での個人用情報処理設備の使用は、評価を受け、許可を得ること。

【解説】

 職場において、情報システム管理を担当する部署以外で調達したハード・ソフト等は、担当部署から評価を受け、決められたルールに則り、報告をし、認可をうけなければいけません。見落としがちですが、フリーウエアのソフトも例外ではありません。安易なダウンロードは、悪質プログラムを組織内のネットワークに招き入れる可能性がありますので、十分注意が必要です。最近では、気が付かないうちに社内にキーロガーなどのスパイウェアが仕込まれているケースが増えていますが、ダウンロード前に正しい手続きを踏んでいたら、防げていたことかもしれません。

 また、USBメモリに仕事のデータを入れ、職員が自宅に仕事を持ち帰り作業をするケースが増えているようですが、こちらも、しかるべき担当者に使用の目的を告げ、許可を受けることが必要でしょう。

筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。