監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・河野省二(ディアイティ セキュリティビジネス推進室 室長)
総務省の情報セキュリティ監査に関する報告書では、被監査主体(地方自治体)が作成する発注仕様書の中に次の項目があります。
- 監査目的 ・・・ 助言型、保証型などを含め記載
- 監査対象 ・・・ 監査の範囲を記載
- 適用基準 ・・・ 総務省が提示している情報セキュリティ管理基準をカスタマイズ
1.と2.については特に問題ないでしょう。ただし、3.の適用基準については、総務省が提示しているものを、自らの情報セキュリティポリシーと照らし合わせ、必要に応じて取捨選択しなければなりません。
また、情報セキュリティ管理基準で必須項目とされている内容が自らの情報セキュリティポリシーに組み込まれていない場合は、監査以前に情報セキュリティポリシーの見直しが必要になるかもしれません。
つまり、監査に関する発注仕様書を書く前に、ポリシーの準拠性という意味で、総務省が提示している管理基準を活用したベースラインアプローチを実施する必要があります。簡易的ではありますが、これが発注書作成の前のリスク分析と言うことになります。
■情報セキュリティ監査とポリシー策定の関係
情報セキュリティポリシーを策定している組織は、PDCAサイクルに従ってセキュリティマネジメントを運用していると思います。しかしながら、いくつかの組織においては、PDCAサイクルのそれぞれのフェーズを独立させて考えている場合があります。つまり、Planにおける情報セキュリティポリシー策定と、Checkにおける情報セキュリティ監査を別の考え方で実施しようとしているということです。
情報セキュリティ監査の目的の一つは、情報セキュリティポリシーで定義した様々な情報セキュリティ管理策を、実際に実施(Do)して見た結果、それが期待通りに機能しているかどうかを調べることです。つまり、設定した情報セキュリティレベルに達しているかどうかを調べること(保証型監査)、設定した情報セキュリティレベルとの間にどのような差異があり、どんな是正措置を実施すれば良いかのアドバイスを受けること(助言型監査)ができます。
| ■図1 PDCAサイクルと監査の関係 |
 |
■求められるセキュリティ対策とセキュリティポリシーのギャップを埋めるために
しかしながら、情報セキュリティ管理基準やJIS X 5080で求められているセキュリティ対策をそのまま組織内に運用することは困難です。これらをうまくカスタマイズすることで、組織に合うセキュリティポリシーを策定することが可能です。
カスタマイズに必要なのは、セキュリティ技術に関する知識ではなく、ルールをどのように構築するかという考え方です。セキュリティポリシーを策定する前提となる知識としては、組織内の業務についての基本的な理解があれば十分です。自らセキュリティポリシーを作るはじめの一歩として、ルールとはどうあるべきかについて考えてみましょう。
今回は筆者が情報セキュリティトレーニングで実施している演習を紹介します。情報漏洩などの原因となる軽微なルール違反は信号無視と同じような軽い気持ちで行われています。だれでもが共通認識していると思われる、交通ルールをもとにルール順守について検討するのがこの演習です。
交通ルールと情報セキュリティポリシーは違うから・・・という判断は「バカの壁」かもしれません。一度、演習にチャレンジしてみてください。
■ルールはどうやって作る?守る?信号ルールから考える
交通安全のために、道路には信号機が設置され、信号の色によって横断ルールが決められています。しかし、信号無視をする人も少なくなく、ルールが守られているとは言い難いのが現実です。ルールを知っている人ばかりなのに、ルールが守られていないのはなぜでしょうか。
今回のトレーニングでは、信号機と横断のルールについて考えてみます。
まず、信号機とルールの関係を明確にしましょう。一般的な交通ルールと言葉が異なるかもしれませんが、以下のように設定をします。
| シグナルの色 | 取るべき行動 |
|---|---|
| 青 | 進め |
| 黄(青点滅) | 横断注意 |
| 赤 | 止まれ |
あなたが歩行者だとした時、車用の信号との組み合わせには次のパターンがあります。
| 歩行者用 | 車用 | あなたの行動 | ルール |
|---|---|---|---|
| 青 | 赤 | ||
| 点滅 | 赤 | ||
| 赤 | 赤 | ||
| 赤 | 青 | ||
| 赤 | 黄 | ||
| 赤 | 赤 |
上の2つの表を利用してトレーニングを実施します。以下の問いに答えてください。
設問 1.1. |
解説 1.1. ここで重要なのは、プロセスについて検討すると言うことです。 勘の鋭い方はおわかりになられたかもしれませんが、この表の中には「歩行者用、車用ともに赤」という箇所が2つあります。しかし、状況を考えるとこの2つは大きく異なります。また、この2つの時にもっともルール違反が起こりやすい箇所でもあります。とはいえ、違反する人はこの2つの「歩行者用、車用ともに赤」の両方で違反する訳ではないというのも興味深いところです。 目に見える現象(止まっている状態で確認できる現象)が同じだからといって、同じ対策を施せば良いというわけではないと言うことがわかります。つまり、ルール作りやセキュリティ管理策の選択においては、そのときの状況を把握する必要があるということです。 これには業務プロセスを正しく理解しておくことが必要であり、情報資産調査においても、業務プロセス単位で実施することによって、中間生成物などがなにかを把握することができ、より具体的で効果的なセキュリティ管理策を実施できるようになります。 |
設問 1.2. |
解説 1.2. あるシチュエーションにおいて、それぞれが思考を巡らすことはビジネスにおいて重要なことです。しかし、ルールを守るという点においては、これは得策ではありません。どうしてそのルールが策定されたのかどうかと言うことを理解せずに独自の判断がなされたのだとすれば、それは大きな事故につながる可能性があるからです。 たとえば、車が来ないから安全だろうと判断した人は、本当に車が来ないことを確認したのでしょうか。その確認が万全だったと言えるのでしょうか。それはその人にしかわかりません。信号無視というルール違反においてはそれでもかまわないかもしれませんが、情報セキュリティにおいては大きな問題です。個人の勝手な判断が許されているというのは、マネジメントシステムが正しく構築されていないということを表しています。 つまり、周知しているからと言って、それが徹底されているわけではないと言うことです。また、ルールを徹底させるためには、単に文書化したり、教育をするだけではなく、訓練や試験、誓約書など、個人がルールについて深い理解をしたという確認を得ることが必要です。 |
設問 1.3. |
解説 1.3. ルール作りにおいて曖昧な表記をすることは、個人の判断にゆだねた結果を導くことになります。たとえば、「できる限り速やかに報告すること」というルールは、それぞれの個人のできる範囲という曖昧さを含んでいます。つまり、個人の能力に応じた範囲でルールを順守すればよいと言うことになります。 もちろん、こういった趣旨のルールがあっても良いかもしれませんが、それはあくまで内部だけの問題であって、監査のインタビューなどでは、ルールが正しく守られていないと判断されてしまうかもしれません。「それぞれのできる範囲で」と考えることも重要ですが、それが無制限になっていてはいけません。「少なくとも24時間以内に報告すること」といった形で制限を付けていくこともルール作りには重要なことでしょう。 |
■まとめ ~ルール作りに必要なこと~
情報セキュリティのルールはそれぞれの組織にゆだねられています。国内においてはJIS X 5080が情報セキュリティにおける標準となっていますが、記載内容は最善慣行(ベストプラクティス)であり、それぞれの管理策については個別で検討し、選択するということになっています。
ルール作りにおいては、それらを正しく実行できることを前提にスケジュールをしていくことが重要であり、そのスケジュールのマイルストーンに対して、自らの達成度を確認するために、定期的な情報セキュリティ監査が必要になります。情報セキュリティ監査を実施する自治体では、JIS X 5080の準拠を確認するとともに、情報セキュリティポリシーの見直しについても、事前準備もしくは、是正措置として実施して頂きたいと思います。
|
|
