徹底的に手間を省力化する“手抜き”ポリシー作成術（5）――ポリシーを作ろう

園田道夫

2004.12.07

手軽なリスク分析法

　世の中に急速にコンピュータがはびこり，数年前に夢のようだった容量のデバイスが，ポケットに入る時代である。旧来の書類管理ならともかく，IT上での取り扱いに不安があるなら，IT上でのリスク分析が必要だろう。

　自前で分析する場合手段は二つ。国際標準ISO/IEC 17799を（部分的に）使う手と，国際標準ISO/TEC TR13335（GMITS）を使う方法である。ISO/IEC 17799（BS7799）は，リスクの一般論に近く，ここに掲載されている管理要件を満たしているかどうかで「○」「×」を付ければおおよその分析はできる。一方のISO/TEC TR13335（GMITS）は，最適な分析手法の選定から考えるようなアプローチであり，17799より敷居が高い。しかし，より詳細に，対象組織特有のリスク（特有の管理方法，手段）に対しても分析可能である。

　どちらを採用すべきかという明確な判断基準は無い。しかし，少なくとも前記するような要注意情報資産については，できる限り詳細に分析すべきだ。となると，敷居が高い方になる。

　だが，この分野の素人がいきなり敷居の高い方でリスク分析すると，おそらく1年がかりになるだろう。セキュリティ以外の一般的なIT技術知識のある人材なら，人によるがその半分で可能だろう。セキュリティ知識があれば，2～3カ月程度，国際標準をじっくり勉強すれば，リスクの洗い出しはできるようになるだろう。しかし，それだけコストはかかる。それならば，専門家に頼む方が早いという話もある。

　いくらなんでもそんなコストは出せない，ということなら，ISO/IEC 17799ベースで分析する。一般的とは言えない特別な管理方法を採用している場合はISO/IEC 17799を使いにくいが，特別な方法を採るのはそもそも何らかの要請があってのことであろう。その要請がセキュリティ上のものなら，詳細リスク分析をしなくてもリスクをカバーできるはずだ。それでも不安なら，ISO/IEC 17799ベースの○×分析を実施したうえで，対象にならなかった管理手順や方法だけを詳細に分析すればよい。

　ISO/IEC 17799ベースのリスク分析の結果が出たら，単純に管理要件で×が多いものはハイリスクとしよう。例えば，「×」が1個で1点などと設定し，前述した情報資産の優先順位（例えば順位が高いものは3点，順に2点，1点とする）と掛け合わせてみる。優先順位が高くハイリスクであれば，3×3で9点となるはずだ。点が高いものから，とにかく対策する。方針はざっくりこの方法で定めてしまうのだ。

ポリシーを作ろう

　さて，いよいよポリシーを作ろう。普通にセキュリティ・ポリシーと表現されているものは，実はセキュリティ・ポリシーを中心とした複数のルール体系であることが多い。ポリシーとガイドライン（ガイダンス），そして手順書という文書で成り立つ体系である。

　このうちポリシーは文字通り方針を示す。このため，ほとんど一般論で問題ない。ガイドライン（ガイダンス）と手順書は，手順書として一まとめにされることもある。これらは，ポリシーよりもずっと現場寄りのルール（管理手順）である。

　ここまでで，論拠は一般論であるにせよ，まず管理策を増強するターゲットにすべき情報が判明した。短絡的に言えば，とりあえず第一優先の情報の管理策について考えればよいはずだ。例えば，「個人情報の安全な管理手順」さえあればよいということになる。

　手順書を考えるときに，本当に（方針という意味での）セキュリティ・ポリシーは必須なのだろうか。そもそもポリシーやガイダンスを作る意味は，

行き当たりばったりにセキュリティに投資して，ばらばらのレベルにしない（＝無駄な投資をしない）
組織の持つ情報をできる限りくまなくチェックし，漏らさない
組織の直面するリスクをできる限りくまなくチェックし，漏らさない

などだろう。

　しかし，事態はそんな悠長なことを言ってはいられない。また，一般論にせよターゲットは明確になっている。となれば，まず第一に個人情報の安全な管理手順を定めればよいのではないだろうか。

　安全な管理手順を考えるとき，方針（ポリシー）が定まっていないとどこまで厳重に（＝煩雑に）すればいいのか分からない，と思うかもしれない。しかし，「一般的に最低でもこれだけは守るべき」というターゲットに上げられている情報（個人情報，経営系データ，研究開発情報，コア情報）は，可能な限り厳重に取り扱うべきである。もちろん使い勝手（可用性）を考慮する必要はあるが，そもそも使い勝手が多少犠牲になっても厳重にすべき情報であるはずだ。ここまでに挙げた情報は，どうかすると直接的にその組織に被害を与えかねない情報である。相応のレベルで守られるべきであろう。

　それでも，どうしてもポリシーが必要なら，数年前とは異なりインターネットを探れば，多くのサンプルを得ることができる。そちらを使えばよいだろう。

園田道夫 Michio Sonoda

筆者は情報処理推進機構（IPA）の脆弱性分析ラボ研究員，および日本ネットワークセキュリティ協会（JNSA)の研究員を務める。JNSAではハニーポットワーキンググループ，セキュリティスタジアム企画運営ワーキンググループのリーダーとして活動している。MicrosoftのSecurity MVP。現在セキュリティ夜話（http://www.asahi-net.or.jp/~vp5m-snd/sec/），極楽せきゅあ日記（http://d.hatena.ne.jp/sonodam/）にて連続的に読み物掲載中。