ホッチキスなどで知られるマックスは2004年4月,セキュリティ認証のISMSとBS7799を同時取得した。2003年8月の大規模なウイルス感染をきっかけにセキュリティ管理体制の見直しを開始。そのための手法としてセキュリティ認証という外部の目とノウハウを導入し,弱点や不備を改善した。
セキュリティ認証の取得はIT系企業を中心に増えてきたが,非IT系企業で認証を取得した例は非常に少ない。マックス システム統括部長 樋口浩一氏は「セキュリティの確保は情報システム部門の責務。以前から取得を考えていた」と語る。構想段階にあった認証取得を実行に移すことになったきっかけは,2003年8月18日に起きたある出来事だった。
ネットワークが2日半マヒ
その日,ウイルス「Nachi」が同社のパソコンやサーバー約350台に感染,増殖のためのパケットをまき散らして社内ネットワークを2日半,マヒ状態に陥れた。「まだウイルス定義ファイルも提供されていない状況で,アンチウイルス・ソフトでは検出できない。当初は何が起きているのかわからず回線障害を疑った」(樋口氏)。
最初の症状はネットワークの不調だった。通信事業者の担当者を呼び出すと,Windowsマシンから送出される大量のパケットがネットワークの帯域を圧迫していることがわかった。ウイルス感染を疑ったが,アンチウイルス・ソフトで検査しても何も出てこない。後でわかったことだが,米国でNachiが発見されてから数時間しかたっておらず,まだウイルス定義ファイルは提供されていなかったのだ。
ネットワークがマヒしたため,業務はファクシミリのやりとりでしのいだ。その後,定義ファイルが入手できたものの,ネットワークでは配布できない。CD-Rに焼いて各拠点に郵送した。ウイルスが社外に出て行かなかったことだけが不幸中の幸いだった。
感染経路は,いずれかのノート・パソコンと考えられた。同社は,約320人の営業担当者全員にノート・パソコンを持たせている。どのパソコンが感染源なのかは特定できなかった。
同社の取引先国は数十カ国にのぼり,「現在も日本での発見は初めてというウイルスが飛び込んでくる」(樋口氏)。いかに深刻な脅威にさらされていたのかが,改めて痛感された。
従来の対策では全然足りない
この事件を契機に,同社はファイル・サーバー約30台をWindowsから,Sambaを搭載したLinuxに置き換えた(関連記事)。しかし,重要なのはツールではない。ユーザーのモラルの向上やルールの策定と徹底といった形のないものだ。そこでマックスが選んだのが,セキュリティ認証の取得に挑戦し,そのプロセスを通してセキュリティを向上させることだった。
国内の代表的なセキュリティ認証はISMS(Information Security Management System)認証だが,これは国際的な認証であるBS7799と内容的には同じものだ。マックスは海外との取引も多く,費用も審査料金の若干の追加ですむことから,2つを同時に取得することにした。
認証の範囲を全社とすることも考えたが,費用や人手の面で現実的ではない。そこで本社のシステム部門と,支店および販売会社20拠点のシステム管理者のグループを対象にした。
| ||
| ||
| ||
|
それでも,認証の取得は簡単ではなかった。「従来のセキュリティ対策では全然足りなかった」(樋口氏)。同社がセキュリティをないがしろにしていたわけでは全くない。アンチウイルス・ソフトを導入し,リモート・アクセスにもVPNを使用するなど,一通りの対策は行っていた。しかし「ISMSが要求する内容の数%にしかならなかった」(同)。プロジェクト・チームは,半年に及ぶ膨大な作業に追われた(写真1)。
これまでのやり方を否定
まず行わなければならなかったのが,情報資産とそれに対するリスクの洗い出しだった(図1[拡大表示])。
しかし,社内の情報資産はきわめて多種多様であり,最終的にリスクの数は約1万5000件に及んだ(写真2)。
さらに,同じようなリスクであっても,評価する人によってそのリスクの大きさが異なる。このような「評価のばらつきを調整するなどの作業にぎりぎりまで追われた」(システム統括部 開発2課 岩崎伸弘氏)。
次に,洗い出したリスクに対し,管理策の策定と実施を行う。
「従来のシステム開発のやり方を否定するところから始めなければならなかった」と語るのは,システム企画課 高橋和久氏だ。プログラムの変更に際しても,かつては個人個人の判断で行っていたが,緊急の場合を除き承認のプロセスを踏み,記録に残すようにした。これにより,問題が発生した場合でも追跡や復旧が容易になる。
情報管理規程を策定し,機密性の度合いにより書類を分類。機密性の高いものについては,カギのかかるラックに収納することを義務付けた。しかし,管理を厳しくすると現場での作業の能率が落ちる可能性もあり,「機密性と利便性のバランスを取るのに苦労した」(システム企画課係長 細川秀雄氏)。
各拠点の入退室管理の手順書も作った。警備会社にも依頼し,各拠点のドアの開錠にどのカギが使用されたのか記録するようにするとともに,休日出勤の際の入退室も全て記録するようにした。
いくらルールや手順を定めても,守るのは人である。ルールを破ろうと思えばいくらでも破れる。ユーザーに対しては研修を実施するとともに「情報セキュリティに関する誓約書」にサインしてもらうことで,意識を高めてもらうようにした。しかし,「1回だけの研修では理解してもらえないので,繰り返し実施する必要がある。参加してもらうのもひと苦労」(細川氏)。
認証にあたって作成した文書は約90種にのぼった。イントラネットのWebアプリケーションも開発した。問題とその改善策を別の文書として保存するため,紙では同じ内容を書き写す必要があるなど煩雑だったからだ。
認証取得に際し外部に支払った費用は約1300万円(表1)。費用を圧縮するため,地方の拠点については審査機関に依頼するのではなく,マックスのシステム部員が審査した。そのために審査員の資格も取得した。
大変なのは取得してから
認証取得の成果を,マックスは「ISMSのマネジメント手法を手に入れた」(樋口氏)と表現する。
ISMS認証は情報の機密性,完全性,可用性の維持を目的とする。すなわちセキュリティだけでなく,故障や操作ミスなどの障害が発生してもサービスを継続し,データを正しく利用できるようにすることがゴールになる。情報システムの運用全域にわたる改善につながる。
「ISMSとは,Plan-Do-Check-Actionのサイクルを回しながらセキュリティの水準を上げていくこと。大変なのはこれから」(開発1課長 深井謙一氏)。まさに,認証を取得してからが本番だと,マックスのシステム部門は気を引き締めている。
