BS7799か,ISMS認証か
では,認証を取得しようと思った場合,BS7799とISMS認証のどちらを選ぶべきか。ISMS認証はBS7799に基づいているので,要求するセキュリティ・レベルに大きな違いはない。
BS7799の特徴は,対象業種を限定しないことである。現状では,ISMS認証は情報処理サービス事業者だけが対象なので,それ以外の業種ではBS7799しか選択肢がない*1。
また,BS7799には“実績”がある。既に全世界で70社ほどが取得している。そのため,「取引相手が外国企業,特にヨーロッパの企業の場合には,BS7799の方が向いている」(NTTデータインフォブリオ・セキュリティコンサルティング 高橋氏)という意見もある。ただし,「英国規格であるため,国内企業の実情に合わない部分がある。例えば,建物への物理的アクセスを厳しく制限している。確かに重要なことではあるが,雑居ビル内にオフィスを構えている企業も多く,実際に守ることは難しい」(ラック コンピュータセキュリティ研究所 ISMS部 セキュリティコンサルティンググループ グループリーダー 村上晃氏)。
BS7799では人事面で要求されるレベルも高い。日本ユニシスも,「人事に関係する要求事項には苦労した。BS7799では,雇うときに身元調査などを要求しているが,日本の風土には合わない」(アウトソーシング事業部長 田崎稔氏)と本音をもらす。しかし,最終的には文化の違いを審査員に理解してもらい,無事認証を取得できた。
一方のISMS認証は,「始まったばかりなので,審査員の経験不足が気になる」(NTTデータインフォブリオ・セキュリティコンサルティング 高橋氏)ところである。これについてはJIPDECも,「BS7799相当の認証制度にするには,審査員の質を向上することが急務である」(高取氏)と認識している。そのための,審査員の研修制度や評価制度を検討中である。ISMS認証の特徴は,日本向けにアレンジしてあることである。
認証の取得先が重要
BS7799やISMS認証では,認証機関(ISMS認証制度では「審査登録機関」と呼ぶ)が審査し,情報セキュリティ管理認証を付与する。認証機関は,認定機関による認定を受ける(図2[拡大表示])。ただし機関といっても,いずれも民間企業であり,ISO 9000やISO 14000シリーズなど,他の認証制度と同じ形態を採る*2。
基本的に民間の商行為なので,認証機関を名乗ることは自由である。そのため,認証機関の選定には注意が必要だ。写真1にあるように,認証書にはどの認証機関から取得したのか,その認証機関はどこから認定されたのかが明記されている。どの認証機関から取得したのかが重要となる。
審査では記録を求められる
認証を取得するための手順を図3[拡大表示]にまとめた。まず行うべきことは,セキュリティ・ポリシーの作成とそれを運用する体制づくりである。次に,実際にポリシーを運用して,実績を作る必要がある。認証取得の際には,運用できていることを証明する必要があるからだ。
運用実績ができたら,認証機関による予備審査を受ける。予備審査はオプションであり,その結果は本審査には全く影響を与えない。しかしながら,ほとんどの取得企業が受けており,「審査のポイントが分かったので,役に立った」と評価している。
ここまでがクリアできたら,いよいよ本審査に進む。本審査は,セキュリティ・ポリシーなどの書類の審査,取得企業(部門)の責任者への面接,および実際に運用している現場への立ち入り調査から構成される。特に本審査では,運用できていることを証明する記録が求められる。「なにかというと『その証拠を見せろ』と言われた。そのため,ログや入退室などの記録を実際に見せる必要があった」(日本ユニシス 津村氏)。
ドキュメント管理が適切かどうかもチェックされる。社内のドキュメントにその秘密レベル(例えば,社外秘や極秘など)が記載されているか,管理台帳どおりに保存されているかどうかなどを調査する。
JIPDECが公開している「ISMSガイド(Ver.0.8)」では,サーバー・マシンのパスワード・ファイルを調べる例が記載されている。パスワードが設定されていない,あるいはシャドウ・パスワードになっていないアカウントを見つけると,その理由について質問するという。
どういった質問をするのか,何について細かくチェックするのかについては,すべて審査員に任されている。そのため,事前に対応策を用意することは難しいようだ。審査の結果,認証基準を満たしていれば,認証機関から認証が付与される。
認証を取得してからが重要
認証を取得したからといって,安心はできない。認証取得は一時点のセキュリティ・レベルを確認したことに過ぎず,最終目標はあくまでセキュリティを強化することにあるはずだ。また認証に対しては,定期的な調査(サーベイランス)が認証機関によって行われ,取得時の体制が維持できているかがチェックされる。しかも,認証の有効期間は3年間である。
「今後,この体制をいかに維持していくか,取得するよりもそちらのほうが大変だ」(NRIデータサービス 品質監理部長 米倉昌克氏)というように,認証を取得した瞬間からセキュリティへの新たな取り組みがスタートする。