【 ここから本文 】

• TOP
• >  Topics : コンプライアンス
• >  

コンプライアンス

ソーシャルブックマークに登録 ：
印刷用ページの表示

コンプライアンス時代の情報セキュリティ・ポリシー

英国の事例から情報セキュリティ対策の有効策を探る

（2006年11月14日）

情報セキュリティ・ポリシーを適切に運用することの難しさ

　情報セキュリティ・ポリシーとは、企業の情報資産を適切に保護するために、組織全体の情報セキュリティ対策の基本方針を文書化したものである。近年では、ウイルスやWinny経由での個人情報漏洩、機密情報流出が相次いでいることを背景として、P2PソフトやUSBメモリの利用禁止、ノートPCの持ち出し・持ち込み禁止など、思い切った対策を講じる企業も増えている。しかし、雇用主によって一方的にポリシーが策定された場合、それを適切に実施・運用するのは容易ではない。よく見られるのがポリシーの周知が十分でないケースで、Winnyの使用を禁止しているにもかかわらず、Winny経由での情報漏洩が起こるのはその最たる例であろう。身近なところでは、「パスワードは月に1回変更すること」といったポリシーがあるが、全従業員に徹底させることは困難をきわめる。

　一般にセキュリティと利便性はトレードオフの関係にあると言われる。例えば、同じパスワードを長期間使えば、便利な反面、安全性は低下する。また、ノートPCの持ち出しを全面禁止にすれば、セキュリティは確保できるが、業務効率は著しく低下する。IT/IS部門や情報セキュリティ責任者は、実際のところ、業務効率を優先して多少のポリシー違反には目をつぶるか、あるいは従業員側でも「不便だが、セキュリティ上やむをえない」と甘受しているのが実情だろう。

　それでは、従業員の活動を制限することなく情報資産を保護し、有効活用するという目標に向かうのにあたって、企業の情報セキュリティ対策はどうあるべきか。本稿では、情報セキュリティ・マネジメント・システム（ISMS）の標準規格「BS7799」を提案した英国の事例を紹介しながら、その解を探っていくことにする。企業がコンプライアンスを確立し、ビジネスの継続や収益を維持し、さらには、ブランド・イメージや競争優位性を確保していくためには、情報セキュリティに対する体系的な対策が欠かせないことをあらかじめ強調しておきたい。

英国規格BS7799をベースにした国内の情報セキュリティ対策

　まず、情報セキュリティ・ポリシーにまつわる国内の動向を振り返っておこう。国内の情報セキュリティ対策は、政府の情報セキュリティ対策推進会議が2000年7月に策定した「情報セキュリティポリシーに関するガイドライン」が基本になっている。このガイドラインは、政府機関（各府省庁）が取り組むべき情報セキュリティ対策を体系的にまとめたもので、対策の根幹を情報セキュリティ・ポリシーの策定とその実施、運用に置いているのが特徴だ（注1）。また、2002年4月からは、組織全体のマネジメント・システムを第三者機関が評価する制度として、日本情報処理開発協会（JIPDEC）が「情報セキュリティマネジメントシステム（ISMS）適合性評価制度」の本格運用を開始している。コラム1でも触れているように、情報セキュリティ・ポリシーを策定する企業やISMS認証を取得する事業者は年々増加していった。

　こうした政府ガイドラインやISMS適合性評価制度は、英国規格協会（BSI）が定めたISMS規格BS7799をベースに策定されたものである。BS7799は、パート1（BS7799-1）とパート2（BS7799-2）の2部構成になっており、パート1はベスト・プラクティスをまとめた管理実施基準、パート2はそれを運用するためのシステム仕様が記載されている。なお、BS7799-2は、昨年10月にISO/IEC27001として国際規格化された。また、2000年にISO/IEC17799となったBS7799-1も、今後ISO/IEC27000シリーズに統合される予定である（注2）。

　では次に、政府ガイドランやBS7799/ISO27001を参考にしながら、情報セキュリティ・ポリシーの理想的な策定手順とリスク・アセスメントの手法を紹介する。

【COLUMN 1】
コンプライアンス時代の情報セキュリティ・ポリシー

　NRIセキュアテクノロジーズが今年5月に実施した「企業における情報セキュリティ実態調査2006」（上場・非上場企業3,001社が対象で回収サンプル数は449票）によれば、情報セキュリティ・ポリシーを「すでに策定している」とした企業は44.1％であり、「進めている段階」「検討中」などを含めると、ポリシー策定に取り組んでいる企業は9割を超えている（表A）。

　同社のコンサルティング事業部でセキュリティコンサルタントを務める村主俊彦氏は、「全体的にポリシー策定への取り組みが進んでいることがうかがえるが、1年以上見直しをしていない企業も増加していることは懸念される」と説明する。

　同調査によれば、情報セキュリティ対策として「すでに取り組んでいる」項目のトップは「ネットワークのセキュリティ強化」（84.9％）で、以下、「PCのセキュリティ対策」（75.6％）、「パスワード・ルールなどの情報セキュリティの基本事項の徹底」（63.0％）、「機密情報や重要情報の漏洩防止対策」（55.0％）と続く。

　「今後取り組むべきである」項目のトップが「実施したセキュリティ対策の有効性評価」（83.3％）であることを考え合わせれば、国内における情報セキュリティ対策は、ポリシーの策定や機器・システムの導入といった技術的な対策は進んだものの、その効果を十分に検証できていない段階にあると言えよう。村主氏は、セキュリティ・ポリシーは、環境の変化に合わせて適宜修正し、速やかに実施することが重要だと指摘したうえで、今後の課題として、「現場のセキュリティ担当者が抱いている危機感をマネジメント層が十分に理解すること」を挙げた。

表A：情報セキュリティポリシーの策定状況の経年変化

　一方、ISMS適合性評価制度を利用して、ISMS認証を取得した国内の事業者数も1,733件（2006年9月1日現在）に達しており、全世界の合計取得数の過半数を占めるに至っている。同制度の創設に携わったJIPDECの情報マネジメント推進センターISMS制度推進室室長の高取敏夫氏は、「セキュリティ意識が高まってもインシデントが防げない理由を探ると、最終的には利用者のモラルや心理の問題に行きつく」と述べる。

　同氏によれば、セキュリティ対策として、Winnyの使用を禁止したり、監視カメラを設置したりするだけでは意味がないという。1,000人のうち1人でもモラルが欠如していれば、セキュリティ基準はそこに落ち込んでセキュリティ・ホールになるからだ。また、同氏は、セキュリティ意識の徹底について次のように語る。

　「欧米企業が従業員を解雇する際には、企業資産の盗難や破壊を防ぐために、何もない部屋で本人に通告する。セキュリティ意識の徹底とは、このように人間の心理を分析し、次に起こす行動を予測し対処することを指すのだと思う。企業におけるセキュリティ対策においても、例えば、フロアに入ってくる人間がどこのだれなのかを全員が意識し、机の上に置き放しにしたノートPCを見て、持ち去られる危険性をすぐに察知できるような社内環境を作ることが求められているのではないだろうか」

▲ページの先頭へ戻る