• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ITpro Security

おたくのポリシー本当に役に立ってますか?(2)――ポリシーの「売り」って何?

園田道夫 2004/06/16 ITpro

ポリシーの「売り」って何?

 では,メリット(つまり「売り」)は何だろう。

 まず,最初に「安全になること」がメリットのはずだ。セキュリティ・ポリシーはそのためにあるわけだし,少なくとも導入以前より安全になっていなければ意味がない。では,「何が,どういう風に」安全になるのだろう。

 安全になるものは,その企業や団体が抱える情報資産のはずだ。セキュリティ・ポリシーは,情報資産をその価値に応じて適正に管理するためのルール体系だからだ。

 例えば,「極秘情報」を形にして配布するとき,それを見終わった後にどうやって廃棄すればよいのか,あるいは印刷してもよいのか,複製してもよいのかなど,配布された人々が適正な取り扱い方を承知していなかったとすると,ある人は「たまたま」適正に扱ったとしても,別の人は部下にコピーを配りまくるかもしれない。また,廃棄する場合もコンピュータ上で「ファイル削除」するだけかもしれない(削除されたファイルを復元する技術はきっちり確立されていて,ソフトウェアも安価に出回っている)。

 セキュリティ・ポリシーとそれに基づくルール体系を導入すると,

●極秘情報の廃棄はデータの消去ソフトを使う
●極秘情報は管理・作成者以外がコピーしてはいけない
●極秘情報は管理・作成者以外が印刷してはならない

という管理手順が確立され,極秘情報を取り扱うすべての人は手順に従って取り扱うことになる。このため,「各自の判断=ばらばらのレベル」で取り扱われるよりも安全になるはずだ。現在の取り扱われ方に存在するリスク(消去,勝手にコピー,印刷に関するリスク)は洗い出し,分析済みで,新しい手順の中には対策(ルールによる対策,ファイルを完全に消去するソフトなどの技術的対策の導入)が織り込んである。どう見ても,リスクは低減していると言えるだろう。

 リスク分析によって抱える資産を洗い出し,資産それぞれの置かれた状況を整理し,結果を反映させたポリシーを作ってリスクを減らす。これがポリシーの「売り」だろう。

 ということは,逆に現在の現場がどれだけ混沌としているのか,という部分についても認識してもらわなければならない。何がどれだけ良くなったのか示すには,いわゆる「当社比」という基準が最も分かりやすいからだ。さらに,混沌としていた場合にどれだけコストをロスしていたのかを示し,どれほどの経費節減につながっているのかを提示できると良い。

 例えば,「何だか分からないけど重要そうなデータ」がメールで添付されてきたとき,取り扱いに迷ったあなたは上司に口頭・メール・電話で相談する。上司も何だかわけが分からず,情報の送り主である人,もしくはその上司と相談する。結果,「このデータは送信先の人以外閲覧不可,印刷も望ましくない。読んだあとは即削除」という意向を聞き出せた。この間,「あなたの迷い=0.5時間」「上司とのやり取り=0.5時間」「上司による調査と結果報告=0.5時間」「送信元の人とその上司の応対時間=0.5時間」と計2時間分ものコストがかかっていることになる。送信先が10人で,かつやり取りも単純ではなくさまざまなパターン(一度説明しただけでは理解できない,すでに印刷してしまっていた,すでに本来見るべきではない人にまで配布していてそれを一人ひとり回収しなければならなかった,など)を含むとしよう。すると,それだけで20~30時間以上(約0.2人月以上)はかかるはずだ。これを,各人が「管理基準を参照するだけ」というコストにまで下げることができたら,0.2人月の削減となる。これは現場のメリットに直結するはずだ。

 現場のメリットはそれだけにとどまらない。主業務の手順書が揃っていれば,引き継ぎは楽だし,新規メンバーが業務を覚えるのも楽になる。楽になるということはそれだけコストがかからないで済む,ということでもある。手順書が存在しない業務を引き継ごうとすると,面倒なことに引き継ぎ書類を作らなければならないため,その手間(コスト)がかかる。手間をかけて作っても引き継ぎ書類そのもののクオリティに問題があることも多い。問題があると手戻り(コスト)が発生する。もし書類そのものに問題がなかったとしても,今度はセキュリティ・リスクという観点から抜けがあるかもしれない。抜けがあると今度はコストばかりでなく,リスクが増大してしまうのだ。あらかじめセキュリティ・リスクを考慮した手順書であれば,こうしたコストやリスクは大きく減らすことができるはずだ。

 たしかに手順書を導入すると,ある面では手間や紙が増えるかもしれない。しかし,別のところで手間とリスクを減らしているのだ。(大雑把な見方だが)手間やコストが増減差し引きゼロだったとしても,リスクを低減できる。この辺りはおおいにアピールできる売りになる。

園田 道夫 Michio Sonoda

筆者は情報処理推進機構(IPA)の脆弱性分析ラボ研究員,および日本ネットワークセキュリティ協会(JNSA)の研究員を務める。JNSAではハニーポットワーキンググループ,セキュリティスタジアム企画運営ワーキンググループのリーダーとして活動している。MicrosoftのSecurity MVP。現在セキュリティ夜話(http://www.asahi-net.or.jp/~vp5m-snd/sec/),極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)にて連続的に読み物掲載中。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る