BS7799か,ISMS認証か

図2●認定された認証機関が審査する
例えばISMS認証では,JIPDECが直接審査するのではなく,JIPDECが認定した認証機関(審査登録機関)が審査して認証する
写真1●日本ユニシスが取得した,BS7799の認証書
同社が提供する,あるアウトソーシング・サービスが,BS7799に準拠しているという認証を受けた
図3●認証取得のプロセス
審査を受けるまでに必要な作業や,審査にかかる期間やコストは,認証を取得しようとする企業の規模などによって変わってくる。ISMS認証については,定期的な調査(サーベイランス)の間隔も企業規模などによって変わってくる

 では,認証を取得しようと思った場合,BS7799とISMS認証のどちらを選ぶべきか。ISMS認証はBS7799に基づいているので,要求するセキュリティ・レベルに大きな違いはない。

 BS7799の特徴は,対象業種を限定しないことである。現状では,ISMS認証は情報処理サービス事業者だけが対象なので,それ以外の業種ではBS7799しか選択肢がない*1

 また,BS7799には“実績”がある。既に全世界で70社ほどが取得している。そのため,「取引相手が外国企業,特にヨーロッパの企業の場合には,BS7799の方が向いている」(NTTデータインフォブリオ・セキュリティコンサルティング 高橋氏)という意見もある。ただし,「英国規格であるため,国内企業の実情に合わない部分がある。例えば,建物への物理的アクセスを厳しく制限している。確かに重要なことではあるが,雑居ビル内にオフィスを構えている企業も多く,実際に守ることは難しい」(ラック コンピュータセキュリティ研究所 ISMS部 セキュリティコンサルティンググループ グループリーダー 村上晃氏)。

 BS7799では人事面で要求されるレベルも高い。日本ユニシスも,「人事に関係する要求事項には苦労した。BS7799では,雇うときに身元調査などを要求しているが,日本の風土には合わない」(アウトソーシング事業部長 田崎稔氏)と本音をもらす。しかし,最終的には文化の違いを審査員に理解してもらい,無事認証を取得できた。

 一方のISMS認証は,「始まったばかりなので,審査員の経験不足が気になる」(NTTデータインフォブリオ・セキュリティコンサルティング 高橋氏)ところである。これについてはJIPDECも,「BS7799相当の認証制度にするには,審査員の質を向上することが急務である」(高取氏)と認識している。そのための,審査員の研修制度や評価制度を検討中である。ISMS認証の特徴は,日本向けにアレンジしてあることである。

認証の取得先が重要

 BS7799やISMS認証では,認証機関(ISMS認証制度では「審査登録機関」と呼ぶ)が審査し,情報セキュリティ管理認証を付与する。認証機関は,認定機関による認定を受ける(図2[拡大表示])。ただし機関といっても,いずれも民間企業であり,ISO 9000やISO 14000シリーズなど,他の認証制度と同じ形態を採る*2

 基本的に民間の商行為なので,認証機関を名乗ることは自由である。そのため,認証機関の選定には注意が必要だ。写真1にあるように,認証書にはどの認証機関から取得したのか,その認証機関はどこから認定されたのかが明記されている。どの認証機関から取得したのかが重要となる。

審査では記録を求められる

 認証を取得するための手順を図3[拡大表示]にまとめた。まず行うべきことは,セキュリティ・ポリシーの作成とそれを運用する体制づくりである。次に,実際にポリシーを運用して,実績を作る必要がある。認証取得の際には,運用できていることを証明する必要があるからだ。

 運用実績ができたら,認証機関による予備審査を受ける。予備審査はオプションであり,その結果は本審査には全く影響を与えない。しかしながら,ほとんどの取得企業が受けており,「審査のポイントが分かったので,役に立った」と評価している。

 ここまでがクリアできたら,いよいよ本審査に進む。本審査は,セキュリティ・ポリシーなどの書類の審査,取得企業(部門)の責任者への面接,および実際に運用している現場への立ち入り調査から構成される。特に本審査では,運用できていることを証明する記録が求められる。「なにかというと『その証拠を見せろ』と言われた。そのため,ログや入退室などの記録を実際に見せる必要があった」(日本ユニシス 津村氏)。

 ドキュメント管理が適切かどうかもチェックされる。社内のドキュメントにその秘密レベル(例えば,社外秘や極秘など)が記載されているか,管理台帳どおりに保存されているかどうかなどを調査する。

 JIPDECが公開している「ISMSガイド(Ver.0.8)」では,サーバー・マシンのパスワード・ファイルを調べる例が記載されている。パスワードが設定されていない,あるいはシャドウ・パスワードになっていないアカウントを見つけると,その理由について質問するという。

 どういった質問をするのか,何について細かくチェックするのかについては,すべて審査員に任されている。そのため,事前に対応策を用意することは難しいようだ。審査の結果,認証基準を満たしていれば,認証機関から認証が付与される。

認証を取得してからが重要

 認証を取得したからといって,安心はできない。認証取得は一時点のセキュリティ・レベルを確認したことに過ぎず,最終目標はあくまでセキュリティを強化することにあるはずだ。また認証に対しては,定期的な調査(サーベイランス)が認証機関によって行われ,取得時の体制が維持できているかがチェックされる。しかも,認証の有効期間は3年間である。

 「今後,この体制をいかに維持していくか,取得するよりもそちらのほうが大変だ」(NRIデータサービス 品質監理部長 米倉昌克氏)というように,認証を取得した瞬間からセキュリティへの新たな取り組みがスタートする。

(勝村 幸博=katsumur@nikkeibp.co.jp,IT Pro)