セキュリティ・ポリシーを作成する場合,膨大な手間とコストがかかる。といって,今この世の中でポリシーに手をつけないというのはありえない。手間とコストに臆せず,とにかくポリシーの作成に前向きに取り組むことだ。このためには,“手抜き”も必要になる。今回は,この“手抜き”に焦点を当て,簡単に実践的なポリシーを作成する方法について説明する。
セキュリティ・ポリシーを作るということは,組織のプロファイルを洗いざらいチェックしまくることでもある。持っている情報やその管理方法,所属している人たち,その文化など,あらゆる側面からその組織を解剖する。しかし,この作業は並大抵のことではない。
ただ,大変さに気後れしていると,いつまでたっても実践的なポリシーは作れないし,セキュリティ管理というものはままならない。そこで今回は,いかに手を抜いてポリシーを作って導入するか,ということを考えてみようと思う。
ポリシー作成のプロセスとは,
- 情報資産の洗い出しとプライオリティ付け
- リスク分析
- ポリシー作成
- ポリシーに従ったガイドライン,もしくは管理手順の作成
各フェーズで,必要に応じて情報セキュリティ技術や法律の専門家を招き,その知見を利用しながらポリシーを作成していく。このざっくりと分けたプロセスそれぞれを,いかに手を抜くかという観点から見ていこう。
情報資産のプライオリティとは
まずは,情報資産というものを洗い出さなければならない。一般的な組織や企業が抱える情報としては,
- 経理系データ
- 人事系データ
- 顧客や取引先のデータ
- 関連会社のデータ
- 研究開発データ
- 仕事のデータ
- 経営系データ
- 情報インフラの情報
- 個人情報
こうして並べてみると,それぞれが,それなりに重要そうに思える。各情報を保持している部署に主張させると,もしかしたら「ウチの情報はやはり重要だ!」ということで収拾がつかなくなるかもしれない。しかし,当たり前だがすべての情報をがっちり厳重に管理することはできない。そんなコストも無いし,全部厳重に管理しようものなら,仕事がしづらくて仕方ないはずだ。
そこで,プライオリティを付ける。そのためには当然尺度が必要になる。 分かりやすいようで難しいのが,金銭的な数値に置き換える方法だ。置き換えることができたら,確かにプライオリティは一目瞭然になる。
しかし,どのような論拠でどのように計算・積算して金銭に置き換えるのか,普遍的なセオリーは存在しない。このため,どう積算してもどこかに「えいやっ」という部分が入ってしまう。つまり,計算精度を求めることは不毛なのだ。どれほど精密を期しても,しょせん大雑把なプライオリティ判定の目印くらいにしかならない。
それならばと持ち出されるのが,ビジネス・インパクトという考え方だ。簡単に言えば,その情報が無くなることで業務が止まるのか,止まるだけでなく訴訟やトラブルを引き起こしてさらなる損害を上乗せしてしまうようなシロモノなのか,ということを判定するのだ。金銭的価値よりも,ずっと判定しやすく,かつ分かりやすい。
しかしこの方法も,リスクが大きいかどうかという見方からすると,それだけではちょっと物足りない。情報を持っている当事者の視点も重要だが,リスクに近いのは,むしろその情報を破壊したり盗んだりしたい方の言い分ではないだろうか。 そうした視点からあらためて見直してみると,プライオリティ付けをするまでもなく,もっと汎用的な「一般論」が抽出できるのではないだろうか。
園田 道夫 Michio Sonoda |