企業(組織)にとって,情報セキュリティの確立が必須であることはいまさら言うまでもないだろう。そのためには,情報セキュリティ・マネージメントの体制を整え,リスク分析を行い,セキュリティ・ポリシーを策定する必要がある。そして,PDCA(Plan Do Check Action)サイクルを作り上げ,そのサイクルを日々回していかなければならない――。しかし,言うのは簡単だが,実践するのは容易ではない。そこで今回の記事では,情報セキュリティ・マネージメントを確立するためのポイントをいくつか紹介する。

トップの関与が重要

 企業内の情報セキュリティ・マネージメントを確立するには,

(1)体制作り
(2)情報資産の抽出および分類
(3)リスク分析
(4)セキュリティ・ポリシーの策定
(5)セキュリティ対策の実践
(6)監査とフィードバック

――を実施する必要がある。しかも,一度だけ実施しても意味はない。これらを,いわゆるPDCA(Plan Do Check Action)サイクルとして回していかなければならない。

 まずは,(1)体制作りと(2)情報資産の抽出および分類――を考えてみよう。

 情報セキュリティ・マネージメントは,組織が活動するために収集した,あるいは活動の結果として取得した情報のうち,機密として取り扱うことが求められる情報を安全に活用するためのものである。

 そのためには,まずは組織が持つ情報資産を洗い出し,その重要度を分類する必要がある。これは,ある一部門だけでこなせる仕事ではない。情報を保有するそれぞれの部門が協力して当たる必要がある。そこで,情報セキュリティ・マネージメントを実施する体制(チーム)は,部門を横断するものでなくてはならない。そのような体制を作るには,経営のトップの関与が不可欠となる。

 もう一つ重要なのが,(2)情報資産の抽出および分類についても,トップが関与する必要があるということである。情報資産の抽出および分類は,それぞれの情報を保有する部門が中心になって進めることは言うまでもないが,任せきりにしてしまうと,組織全体の戦略上の重要情報が“こぼれて”しまう恐れがある。

 その部門にとってはそれほど重要な情報でなくても,組織の今後の戦略を考えると,重要な意味をもってくる情報も中にはある。そのような情報の分類には,部門の活動だけではなく,組織全体の戦略を把握しているトップの判断が必要になるのだ。

「リスク」に加えて「ハザード」の考え方を

 次に,(3)リスク分析について考える。情報セキュリティ・マネジメントにおいてリスク分析とは,その情報が漏えいなどした場合の影響度合い(リスクの大きさ)を見積もることである。リスクの大きさが見積もれれば,その対策にかけるべきコストなどが決定できる。

 リスク分析の結果,あるリスクを招く危険因子をあえて放置し,業務効率を優先するという判断はありうる。もちろんこれは,分析が正しいこと,放置した危険因子によるリスクが十分小さいこと,万が一発生した事態を収拾する手段を持ち合わせていること――などが前提である。

 ただし,この考え方には大きな落とし穴がある。業務効率を優先させたいがために,リスクを過小評価する恐れがあるのだ。本来は放置してはいけない危険因子を,「回避可能」として放置してしまうのである。

 このような事態を避けるために,情報セキュリティ・マネージメントの初期段階では,「ハザード」という言葉を用意することをお勧めする。業務の性格上あるいは情報資産の性格上,その存在を決して許してはいけない危険因子を,リスクではなく,ハザードに分類するのである。

 ハザードに分類されたものについては,業務効率にかかわりなく,必ず解消するようにする。加えて,ハザードに対して組織内で共通の認識を作り上げておく必要がある。

 例えば,情報漏えいの危険性を高めるとして,ある部門LANにおけるRASの設置をハザードに分類したとする。そして,既存のRASをすべて撤去したとする。しかし,その後ユーザーが業務効率を高めるために勝手にRASを設置してしまっては元も子もない。どんなに業務効率が向上しようとも,許してはいけない危険因子がハザードであること,ハザードには具体的にどのようなものがあるのか――といったことは,組織の全員に周知させてこそ意味があるのだ。もちろんこのことは,セキュリティ・ポリシーに盛り込まれるべきことである。

ポリシーは緩くても厳しくてもダメ

 (4)のセキュリティ・ポリシーを策定する段階では,ハザードに分類した因子に確実に対処できるポリシーを策定するよう留意しなければならない。前述の例に従えば,RASの設置禁止を明文化するとともに,罰則規定を設ける。

 このとき,「策定したセキュリティ・ポリシーすべてを最初から守ることは難しいだろうから,多少守れなくても仕方がない。守れなかった点については,次回の見直しのときに守れるように修整しよう。これを繰り返せば,自然と守れるポリシーが作れるだろう」などと考えてはいけない。そんなことをすれば,ポリシーは次々と無視されることになる。情報セキュリティ・マネージメントの確立は確実に失敗する。

 とはいえ,厳しすぎるポリシーではユーザーは守れない。ユーザーが理解でき,なおかつ過度の負担を強いることがないポリシーでなくてはならない。例えば,どうしても外部からLANにアクセスする必要があるユーザーに対して,「RASの設置は許さない」の一辺倒では,ユーザーは守らない。どうしても必要なユーザーに対してのみ,システム部が管理する,セキュアなRASを通じたアクセスは許可した上で,「RASの設置は許さない」というポリシーにすべきである。

ユーザーへの周知と教育が不可欠

 どんなに優れた体制を作り,適切にリスク分析し,ハザードを回避できる上にユーザーにも“やさしい”セキュリティ・ポリシーを作ったとしても,ユーザーが情報セキュリティ・マネジメントの重要性を理解し,ポリシーを守らなければ意味はない。結局,一番重要なのは,ユーザーへの周知および教育である。

 周知と教育が不足していれば,実際の業務に生かせないばかりか,インシデント(セキュリティ上の問題)が発生した際に,組織として責任を果たしていなかったと判断されるのだ。

 以上,情報セキュリティ・マネージメントを確立するためのポイントを,ざっと駆け足で解説した。口で言うことは簡単だが,実践することは難しい。しかし,現在では情報セキュリティ・マネージメントの確立は,組織にとっての死活問題となっている。情報セキュリティへの投資は,いまだに後ろ向きのものと考えている経営トップは少なくない。しかし,何かあってからは遅いのだ。その重要性を理解し,適切なコストをかけて,情報セキュリティ・マネージメントの確立に努めなければならないのである。


東山 栄一 (HIGASHIYAMA Eiichi) higashiyamaアットマークmxc.nes.nec.co.jp
NECソフト株式会社 ITソリューション事業部
セキュリティソリューション部


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。