現在,様々なベンダが有償でセキュリティ・サービスを提供している。セキュリティ・ポリシ作成,システム保守,監視サービス,侵入検査サービス,ホスティングなどである。これらのサービスを利用する場合の注意点,およびベンダ選択の指針についてまとめた。(本誌)

 情報セキュリティ対策を全部自力で行うことはあり得ない。個人ユーザの場合は自力に頼らざるを得ない面が多いが,それも仕方なくやっている場合が多い。別に好んでゴリゴリ設定を変えたり,パッチを当てたりしたいわけではないだろう(もちろんそれが講じて趣味になっている面もあるだろうが)。本来,インターネットやネットワーク,あるいはコンピュータを使って,やりたいことはほかにあるはずだ。

 現在,セキュリティ対策を有償サービスとして提供しているベンダは数多くある。本来の業務をスムーズに遂行するためにも,手間のかかるセキュリティ対策を外部のベンダに頼むというのは,悪くない選択だ。

 ただ,有償セキュリティ・サービスには多種多様のものがある。セキュリティ・ベンダに対策を依頼するなら,最低でもどのようなサービスが提供され,どの程度のコストがかかるのかを知っておかなければならない。また,作業内容に関する知識も必要だ。依頼する側もある程度の知識を備えておかないと,せっかくコストをかけてセキュリティ対策をしても,まったく効果を発揮しない場合がある。

リスク分析から始める

 まず,セキュリティ対策を外部に依頼する場合の大まかな考え方を説明しておこう。

 外部ベンダに依頼する場合,一番楽な頼み方は決まっている。「やっといてね」の一言で片付け,それで必要な対策をすべてやってもらうというものだ。しかし,こういう頼み方をすると,ものすごくお金がかかる。通常は,対策範囲を明確にして,依頼しなければならない。

 自分たちの組織にとって,セキュリティ対策が最も必要な部分はどこだろうか。これを知るためには,リスク分析をするのが一番だ。というより,自分たちがどのような資産(情報を含む)を持ち,それぞれがどんな脅威にさらされ,どんなリスクがあるのかを認知しない限り,セキュリティ対策要件や優先順位は決められない。

 そこで,まずはリスク分析を専門家に頼む。もちろん,可能であれば自前でやっても構わないが,コンピュータ・ネットワークやセキュリティに関する知識がない場合は,一般論としてのリスク抽出に範囲を限った方がよいだろう(リスク分析について詳しくは後述する)。

 リスク分析の結果,情報を含む資産が適切にアクセス制御されていない,ということが判明したら,アクセス制御の仕組みと管理運用ルール,そしてセキュリティ・ポリシを作る必要がある。これらもセキュリティ・ベンダに依頼できる。

 ポリシが完成したら,正しく遵守されているかを監視・監査することも必要だ。これにはネットワーク監視や侵入検査サービスが利用できる。リテラシを上げるためにエンド・ユーザ向けの教育を導入してもよいだろう。

弱点はわかっている

 リスク分析しなくても,一番弱い部分や補強したい部分がわかっている場合もある。外接する場所(セグメント,ネットワーク)に置いた公開サーバやネットワークに不安があり,この部分を任せたいなど,目的がはっきりしている場合だ。当然ながら,セキュリティ・ベンダに対し「やっといてね」よりもずっと明確な依頼ができる。

 公開サーバや外接するネットワークに関する運用・管理などの作業だけを頼むときは,サーバやネットワークのセキュリティ保守サービスを頼めばよい。不正アクセスが心配なら,24時間365日の監視サービスを依頼するのも手だ。もちろん,システムの構築から頼んでもよい。

 自前で面倒を見るのであれば,管理担当者がセキュリティ技術に関する教育を受けてもよいだろう。管理業務の中で最も大変なセキュリティ関連情報の収集を有償の情報提供サービスに任せる手もある。

 また,自前でコンピュータやネットワークを揃えないで,ホスティングやハウジング,レンタル・サーバなどのサービスを利用する方法もある。

 でき上がった(または借りた)システムの強度を確かめるためには,不正アクセスをシミュレートしてくれる侵入検査サービスが使える。

資金に余裕があるなら

 資金に余裕があるなら,コンピュータやネットワークに施す技術的対策と,セキュリティ・ポリシを中心とするルール的対策の両方をひっくるめて,セキュリティ対策全般をアウトソースすることも考えられる。企業・組織活動を行う上で必要なセキュリティ的な部分をすべて頼んでしまおう,というやり方だ。これが「やっといてね」に最も近い頼み方だろう。

 そこまで極端にアウトソースしないまでも,部分的に切り出してアウトソースする方法もある。アウトソーシングの場合は,サービス・レベルの合意によってサービス対象範囲が決められるため,相手(アウトソーサ)のレベルを見極めながら,自分たちにとっての最適値を決めることになるだろう。

図1 現在提供されている主な有償セキュリティ・サービス
図2 リスク分析の手順
表1 ベンダにリスク分析を依頼する場合のチェック・ポイント
 ここまで出てきたセキュリティ関連のサービスを並べると,図1[拡大表示]のようになる。このうち,以下では赤文字で示した(1)~(7)のサービス内容と,ベンダを選択する場合のチェック・ポイントについて見ていこう。(8)セキュリティ情報提供サービスと(9)セキュリティ教育,(10)アウトソーシングはページの関係上,今回は割愛した。

リスク分析はポリシ作成の一環

 まずはリスク分析から始める。リスク分析は,一般にセキュリティ・ポリシ作成作業の一部として行う。リスク分析だけをベンダに依頼することもできるが,多くの場合セキュリティ・ポリシ作成の一環として頼む。情報セキュリティ・ポリシの作成は,一般に(1)情報資産の洗い出し,(2)リスク分析,(3)ポリシの作成,(4)スタンダードや手順の作成,という段取りで行う。

 リスクを分析する方法論やアプローチは様々あるが,手順はおおよそ図2[拡大表示]のような流れになる。場合によっては,ポリシを最初に決めることもある。

 ポリシを最初に決めることに,戸惑う読者がいるかもしれない。ポリシ文書を作るのは,リスク分析の後でも先でも構わない。先に決める場合は,きっちり条文化したポリシでなくてよい。おおよその枠組みを決め,枠組みの中で想定されるリスクを分析していく。先に決める場合のメリットは,セキュリティ・リスクを分析する前に,自分たちの業務のどの部分を(あるいはすべてを)分析対象とするのか,大枠としての範囲を設定できることにある。漠然と分析を開始すると,どうしても一般論から入らざるを得ず,本来なら業務の範囲が絞り込めるのにもかかわらず回り道をしてしまう可能性があるからだ。手間を省けるところは最上流から省いておきたい。

 リスク分析を依頼する場合は,表1のような点を気にかけるべきである。いずれも,リスク分析中もしくはリスク分析後のベンダの対応をチェックするポイントだ。前述の通り,リスク分析はポリシの作成と絡む。どのベンダに依頼するかは,後述するセキュリティ・ポリシでの指針と同じである。後部を参照してほしい。

 表1に「しっくりくる」と書いたが,ここはどうしても抽象的な書き方にならざるを得ない。というのも,ポリシを作っていく場合は「その企業や組織に合ったものになっているか」ということがポイントになるからだ。合っているかどうか,というのはその組織を運営し,その中で生活している人たちの感覚に基づく判断になる。そうでないと,どうしても一般論になってしまう。分析の期間がどの程度かにもよるが,作業の中に現場の人に対するヒアリングは含まれるべきだ。

 表1に記した「分析対象となる範囲は適正か」については,BS7799やISO/IEC17799などのセキュリティ標準で定めた管理項目一覧をベースに考えればよい。BS7799やISO/IEC17799の管理項目をすべてカバーする必要はなく,自身の環境に必須の要件を洗い出してチェックする注1)

リスク分析の相場

 では,リスク分析を外部ベンダに依頼すると,どの程度のコストがかかるのか。リスク分析の費用は,それこそピンからキリまである。

 筆者の知る限り,最も高額なのは海外の例で1サイト当たり1500万程度というものだ。

 こういった冗談みたいな金額は置いておいて,実質ベースで考えると作業期間は1~2カ月弱。分析対象の範囲が広くても最大3カ月程度だろう。1人で作業して2~3人月,2人だと4~5人月。専門知識を持った人間の1人月の相場が200万程度だと考えると,リスク分析自体のコストは400万円からというところだ。ただ,著名なコンサルティング・ファームでは1人月当たり300~500万円取る場合もあり,この数字はぶれる。現在でもまだ,セキュリティ分野では,コンサルテーションをきちんとできる人材が少なく,高値になるのは仕方ないだろう。

 また,図2の(2)に示した「情報(資産)に対する脅威の洗い出し」のために,後述の侵入検査サービスと同じことを実施する場合もある。この場合は,その分作業費が上乗せになる場合もあるが,その内容はやはり侵入検査サービスと同様に見極める必要がある。リスク分析に検査サービス分をのっけてくる場合は特にチェックが必要だろう。

ポリシ作成には積極的にかかわろう

 セキュリティ・ポリシを作成する手順は前述の通りである。もちろん,ポリシを作るのがゴールではない。むしろ,導入した後にどうやって運用するかがキーになる。が,外部に依頼する場合はルールを作成し終えるところまでが一区切りだ。というより,普通は外部に運用の立ち上げまで依頼するわけにはいかないので,そこで一区切りとせざるを得ない。

 セキュリティ・ポリシの作成を依頼する場合は,作業範囲を特定する必要がある。ポリシを作る範囲(適用する範囲)が企業や組織全体なのか,それとも電子商取引サイトにかかわる部分だけなのかを決めなければならない。作業を進めていくと,途中でどちらとも言えない部分が出てくるが,その場合は対象となる範囲に含める方向で検討していく。適用範囲を定めることは,後にISMS認証やBS7799認証を取得する際にもポイントとなる。

 ポリシを作成するときに,常に頭に置いておかなければならないのは,「ポリシはセキュリティ・ベンダに作ってもらうものではない」ということだ。ポリシを作るとき,企業や組織が抱える情報に,どの程度の価値があるのかを決める必要がある。これが対策の優先順位につながる。このプライオリティは一般論では決められない。このため,外部の人間ではなく,内部の人間,それも経営方針を決めるべき人間が会社や組織の方針として決める必要がある。

 また,ポリシを決める際には,どこまでのルール違反を,どの程度の罰で懲戒するのかも考えなければならない。ここでも,判断するのは経営方針を決めるべき人間だ。ルールや手順を決めるときも,関連する部局や部署の現場担当者の意見が反映されていることが望ましい。

 このように,作成プロセス全般にわたって,企業や組織内部の人間の協力が不可欠になる。専門家に任せっきりで,結果を待っていればよいという性質のものではない。逆に言えば,作成プロセス全般にわたって,内部の人間がかかわることで,ベンダのクオリティを見極めるチャンスも多々あるといえる。

ポリシ作成ベンダの見極め方

 では,依頼するベンダをどのような基準で見極めればよいのだろうか(図3[拡大表示])。ポリシを作る作業のベースになる基準はいくつかある。BS7799やそのISO版であるISO/IEC17799,GMITSと呼ばれるISO/IEC TR13335などである。

 一番利用しやすいのはBS7799とISO/IEC17799だろう。これらの基準は,現実的に一番要求が多いであろう項目を集約したものである。外部ベンダが作成したポリシについて,管理すべき項目が漏れなく網羅されているか,などを簡単にチェックできる。

 「Information Security Policies and Procedures」(翻訳本は「セキュリティポリシーの作成と運用」,http://store.sbpnet.jp/bm_detail.asp?sku=4797314680)というきわめて現実的な側面からポリシの作り方を検証した書籍を利用してチェックする方法もある。この書籍は,ポリシの具体的な作り方を記載したマニュアルに近いもので,実際にポリシを作成して運用までのプロセスをチェックすることができる。

 ポリシ作成については,日本ネットワークセキュリティ協会(http://www.jnsa.org/)のセキュリティポリシーワーキンググループが作成したサンプル・ポリシを使うという手もある(2003年3月現在スタンダードも含めた0.92a版が公開されている,http://www.jnsa.org/policy/guidance/index.html)。仮想的にスペックを定めた企業のポリシという条件は付くが,ベンダが作成しようとしているものや,作成したものと読み比べてみるとよいだろう。

 解決策や対策,およびその運用についてのベンダの見識を見る,というポイントもある。見識というとかなり構えてしまうが,専門家たるもの,まずは解決策をたくさん心得ている必要があるだろう。ただ,たくさん知っているだけでは真の意味での解決にはならない。いかに素晴らしい技術と実装でも,導入し運用する際には様々な困難を伴う。この困難をどうやって回避・解決するか,そしてどう運用管理すべきか,という点まで提言できる専門家であるべきだ。そうでないと,頭でっかちで運用が難しいポリシになる恐れがある。

 具体的には,ポリシ作成作業を依頼しようと考えている専門家に対して,例えば「ウイルスやワームで困ってるんですが」「ビジネス・パートナー(協力会社)に対し,どこまでセキュリティ・ルールの遵守を要求できるのか,判断に困っているんですが」などの具体的な質問をいくつか投げてみるとよい。通り一遍の返答しかできないようなら,注意が必要かもしれない。

 ポリシ作成後の運用について,どれだけ提言できるかというのも,専門家の経験値を測る一つの手段だろう。ポリシを運用するうえで重要なのは,懲戒を含む罰則をいかに設定するか,と対象となる部署をいかに巻き込むかという点だ。これらについて方法論を持っているかが,作成したポリシの成否にかかわる。依頼する前に,この点についても質問してみるとよいだろう。

 また,でき上がるポリシの分量や文章の質などについてもあらかじめ聞いておきたい。文書量というのも重要で,圧倒的に多い量の文書は,たとえそれがどんなに重要でも読む気がしない。どれだけコンパクトにできるか,それも一つのノウハウである。また,平易でわかりやすい文書か,望んでいることがしっかり伝わるようになっているか,なども大切だ。これもポリシのサンプルなどを事前に入手して見極めたいところだ。

 ポリシ作成の作業量は組織の規模によって異なるが,期間は一般に3~6カ月と考えられる。2人で従事して,4~5人月。価格は,大雑把に考えて600万円~1000万円程度はかかるだろう。依頼する場合はできればリスク分析も含めてこの価格内としたいところだ。

園田 道夫
筆者は株式会社アイ・ティ・フロンティアに勤務。現在は同社セキュリティソリューション部にてコンサルテーションを主に行っている。同社のサイト「プラスセック」(http://www.itfrontier.co.jp/sec/)にて各種読み物連続掲載中。また,日本ネットワークセキュリティ協会(JNSA)技術部会・不正アクセス調査ワーキンググループリーダーを務める。