ガバナンスの拡大と規定の形骸化|セキュリティ|ブログ|Computerworld

トップ
ブログ
セキュリティ
ガバナンスの拡大と規定の形骸化

セキュリティ

ガバナンスの拡大と規定の形骸化

Posted by 蔵本雄一 ( 2010年05月15日 )

読者の皆様

お待たせしました、仙台出張の際に、牛タン屋さんの利休さんで牛タンセットの1.5人前をご飯大盛りで平らげた蔵本です。

牛タンと言うと、焼き肉屋さんで出てくる、丸くてペラペラのイメージだったのですが、仙台で牛タンを食べて牛タンのイメージが変わりました。あの牛タンに仙台味噌塗ると、「なんぼほど米食うねん！」と言われる程、御飯が進んでそれはもう、、、

さて、本日は、規定の形骸化についてお話します。

私は様々な企業様にてセキュリティ監査をやらせて頂いているのですが、監査結果報告書を作成する際に改善提言としてほぼ100%登場するのが、本日の話題である「既定の形骸化」です。

「既定の形骸化」とは、一言で言うと、「規定はあるけど、守られていない。」もしくは「守られているかどうかわからない。」状態になっている、いう事です。皆様の会社にも、セキュリティに関する管理規定が数々存在する事かと思いますが、この管理規定を大きく分類すると、「技術的管理規定」「非技術的管理規定」に分かれてきます。

本題に入る前に、ここでセキュリティポリシーについて、おさらいをしておきます。
セキュリティポリシーは、ポリシー>スタンダード>プロシージャと、よく三階層に分けて記述されます。

例を挙げて各階層を説明しますと、下記のようになります。

【ポリシー】
経営層による宣言部分です。情報保護に取り組む決意表明等が該当します。

【スタンダード】
実際に守るべき規定です。「パスワードは、破られにくいものを使用する事」等が該当します。

【プロシージャ】
スタンダードで決められた遵守事項を実現する方法(手順)です。「パスワードは、8文字以上であること」「大文字小文字数字記号を含む事」等が該当します。

さて、ここで皆様に一つ考えて頂きたい事があります。

上記で例に挙げた「パスワードの長さ」や「パスワードの複雑性」に関して、口頭で「守ってね」と言うだけで、社員の皆様はこの項目を遵守してくれるのでしょうか？

え？守ってくれる訳がない？

その通りです。

セキュリティの世界において管理規定とは、実社会で言うところの法律と同じです。要は、社員の皆様の行いについて、違反しているか違反していないかを明確化するための単なる線引きです。法律では、もちろん窃盗等、禁止されていますが、法律を破って窃盗を犯してしまう人もいます。それと同じです。口頭で言って守ってくれるぐらいなら読者の皆様も苦労しませんよね。

つまり本気で「情報漏洩は防ぎたい」と思うのであれば、技術的な強制力が必要になってくると言う事です。
前述した、「技術的管理規定」は、まさにそのターゲットとなるべき規定です。
「パスワードは8文字以上にしてね」と言ったところで、絶対に守らない人が出てきます。それであれば、技術的に8文字以上のパスワードしか受け付けないようにすれば良いのです。

今回の表題である、「ガバナンスの拡大と規定の形骸化」ですが、ガバナンスの拡大を行えば、この部分はより顕著になります。
近年、グループ大のセキュリティ確保の動きが盛んになってきており、今まで自社のセキュリティだけを考えていた状態から、子会社、関連会社とカバー範囲が広がってきています。こうなると、保護対象が増えるため、技術的な安全管理措置の導入における重要性が今まで以上に高くなってきています。また、管理規定を技術的に強制するという部分に関しては、監査証跡の十分性確保といった観点でも非常に意味のある項目です。

監査人がサンプル法で試査するケースを考えても、母集団数が増えれば増える程、統計学的にサンプル法による結果の信頼性は落ちますが、例えば何かのツールを使用して技術的管理規定の徹底を図っているのであれば、そのツールの設定値とツールの導入率といった観点から監査証跡の十分性を検証する事ができます。

実際には、管理者や企業そのものにとって、管理規定は、ある種の免責として捉えられている側面があります。要は何か起こった際に「うちは禁止してたんだから、それでも起こったのはしょうがない」という保身的な一面ですが、以前の記事でも少し触れたとおり、昨今のセキュリティインシデントは規定を破る事で顕在化しており、規定があったとしても、信用の失墜、株価の下落、損害賠償等、その責任を逃れられる訳ではない事は皆さんご存知かと思います。それに、せっかく苦労して作った管理規定を生かさないのは、もったいないです。

下記は監査時によくある一幕

監査側：筆者
「それでは、パスワードのプロシージャに関して、技術的な強制項目があるか否かお聞かせ下さい。」

被監査側：リーダー福原さん
「そんなもん規定で決まってんねんから、守ってるにきまってまんがな！」

監査側：筆者
「遵守されている監査証拠はありますか？先ほど試査させて頂いたところ、遵守されていない方もいたようですが、、、」

被監査側：サブリーダー青木さん
「決まりさえあったらええんやって言ってたじゃないですかー！」

本日お話した部分は、正直、非常に骨の折れる所です。
しかし、読者の皆様に、是非とも頑張って頂きたい部分でもあります。
日本の企業のセキュリティは、読者の皆様の昼夜問わない努力によって支えられています。
私も、読者の皆様に負けないよう、全力でセキュリティに寄与できる活動を行います！
「○ャシャーンがやらねば誰がやる」と胸に秘めつつ一緒に頑張りましょう！

それでは、また来週お会いしましょう。

特　集

CW_Topics_レクタングルバナー14

CW_Topics_レクタングルバナー15

CW_Topics_レクタングルバナー17

CW_Topics_レクタングルバナー19

CW_Topics_レクタングルバナー22

ブログカテゴリ

ブロガープロファイル

プロフィール

蔵本雄一… CISSP 公認情報セキュリティ監査人。前職でアンチウイルスソフト等の開発に携わった後、Microsoft社のセキュリティエンジニアとして顧客環境のセキュリティ向上提案活動に従事。プログラミングやハッキング等の下流技術要素から、情報セキュリティ監査やコンサルティング等の上流要素まで、幅広く豊富な知識を活用した提案をおこなっている。その他、セミナー講師、イベントスピーカーや記事執筆等の活動も精力的にこなす。気は優しくて力持ち。