セキュリティ強化にはどの標準／フレームワークが“適役”か

（2006年06月15日）

　セキュリティ対策は、いまや企業の命運を握るほどの重大案件と化した感がある。あなたの会社でも、さまざまな対策が練られていることだろう。だが、セキュリティ対策を一般企業が一から始めるのは大変だ。そのため、多くの企業が、標準やフレームワークに頼ることになる。だが、やっかいなことに、現時点では、すべての企業に適用できる“確立された唯一の標準”といったものが存在しているわけではない。そこで、本稿では、現在提供されている主な標準／フレームワークの概要や特徴を紹介しつつ、どんな企業には、どんな標準／フレームワークが合っているを考えてみたい。

ボブ・バイオリーノ
Computerworld 米国版

　情報セキュリティを強化するために、現在、多くの企業が「標準」や「フレームワーク」を導入している。なかでも、COBIT（Control Objectives for Information and Related Technology）、ISO 27001、ITIL（IT Infrastructure Library）、およびSAS 70（Statement on Auditing Standards No. 70）といったところが、有力どころだ。

　いささか乱立気味の状況にも見えるが、ロッキード・マーチンのIT部門であるエンタープライズ・インフォメーション・システムズでコンピューティングおよびネットワーク・サービス担当副社長を務める、キンバリー・ソウヤ氏は、「いずれのフレームワークも、さまざまなIT要素に適用可能な一貫性のあるプロセスを供給し、高度なサービスの提供を可能にするものだ」と、現状を肯定的にとらえている。

　もっとも、同氏は、「どの標準やフレームワークも、それだけでは完全なセキュリティを実現することはできない」と指摘することも忘れない。その視点の上に立って、同氏はこう続ける。「情報セキュリティには多様なコンセプトがある。それらは、正しく理解され、日常のオペレーションに組み込まれてはじめて適切に機能する。包括的なセキュリティには、プランニング、サービス・デリバリー、リスク管理アーキテクチャ、ツール選択、ポリシー策定／監査など、すべての側面に一貫する規律と統合化が求められるのだ」

　ロッキード・マーチンでは、COBIT、ITIL、ISO 27001を、それぞれ異なる目的で導入した。COBITはITコントロールの測定・評価のために、ITILは社内ITサービスの改善のために、そしてISO 27001はITガバナンスのために利用されている。いずれもセキュリティの強化には役立っているが、どれもスタンドアロンのソリューションではない。「IT組織は情報セキュリティの規律全般にベスト・プラクティスが組み込まれるように、それらのフレームワークを統合化すべきだ」というのが、同社の、そしてソウヤ氏の姿勢なのである。

　以下、主な標準／フレームワークの概要と、それらがセキュリティ計画において果たす役割について紹介したい。

COBIT

　米国の情報システム・コントロール協会とITガバナンス協会が1996年に開発したCOBITは、ユーザーとIT、セキュリティ、そして監査の各責任者に対して共通のフレームワークを提供するものである。今日、データ、システム、関連リスクをコントロールするグッド・プラクティスとして、広く認知されつつある。

　ソウヤ氏は、COBITを「欠陥の根本原因を特定するシステマティックなアプローチを提供ものだ」と評価している。

　このフレームワークには、34のITプロセスにおいて組織の成熟度を測る各種のツールが含まれている。例えば、各段階のITプロセスのベスト・プラクティスを示す重要成功要因リスト、ベンチマーキングやパフォーマンス測定のための成熟度モデルなどである。この標準は、米国企業改革法（SOX法）などで企業への規制が強化されるにつれて脚光を浴びるようになった。

　情報セキュリティ専門コンサルティング会社、セキュアネット・テクノロジーズの社長、マイク・ネルソン氏は、「COBITは1つのセキュリティ・モジュールにすぎないが、大局的な視点で、実に多くのセキュリティ問題について解決策を提示してくれる。ただし、コントロールの詳細とその目的については教えてくれるが、それをどのように実装するかについては説明してくれない」と、その特徴を解説する。

ISO 27001

　ISO 27001（情報セキュリティ管理──仕様と利用の手引き）に関して、ネルソン氏は「非常に詳細に定義されている」と評価する。初期のISO 17799をベースとするこの標準では、継続的な改善策によって効果的な情報セキュリティ・コントロールの確立／維持が図られている。

　国際標準化機構が2005年10月に策定したISO 27001は、情報とネットワークのセキュリティ制御に関する経済協力開発機構（OECD）の基本原理を実装したものであり、ITプロセスの安全な設計／実装／管理／保守に関するロードマップを示している。

　ガートナーのアナリスト、ポール・プロクター氏によると、ISO 27001は、「COBITとともに現在最も広く普及している標準」だが、その内容は、「制御項目の詳細なリストであり、効果的なセキュリティ・プログラムのフレームワークにとどまらない」という。

ITIL

　ITILは、技術利用のコストを抑え、組織内で提供されるサービスの品質を向上させるためのベスト・プラクティスをまとめたガイドブックである。具体的には、ネットワークやアプリケーション、データベースをサポートするIT部門の管理プロセスを改善し、効果的なサービスの提供を可能にするためのルールが定義されている。

　1980年代後半、英国商務省が、同国政府にITサービスを提供するサービス・プロバイダー向けに文書化したもので、サービス・サポート、サービス・デリバリー、サービス管理実装プランニング、ITおよび通信インフラ管理、アプリケーション管理、セキュリティ管理、ビジネス展望の7つの領域をカバーしている。

　英国だけでなく世界的にも知名度の高いITILだが、セキュアネットのネルソン氏は「ITILはプロセス管理とデリバリーの面では強力だが、それらの領域に焦点を絞りすぎている。セキュリティに関しては、サービス管理のコンポーネントという周辺的な扱いにとどまっている。もともとセキュリティ問題を解決するために設計されたものではないため、純粋にセキュリティの視点で見ると弱い部分がある」と、少々厳しい見方をしている。

　ガートナーのプロクター氏も同様に、「規制への対応を図るのであれば、COBITがベターだろう。ITILはどちらかと言うと運用標準であり、ITオペレーションの成熟度を高めるためのものだ。ちなみに、企業はITILとCOBITのいずれか一方を採用することが多い。双方を採用しているケースもあることはあるが、きわめてまれだ」との見解を示す。

　一方、グロマーク・グループの社長、ルーベン・メレンデス氏によると、ここにきてITILを採用するベンダーが増加してきており、それがITILがセキュリティ強化にも役立つことのあかしになっているという。同社は、ITベンダーやユーザー企業のROI戦略の立案に携わっているが、メレンデス氏は、「当社がかかわった企業のほとんどは、ITILを実装している。例えば、当社はCAのセキュリティ関連製品の開発にも関与したが、彼らがセキュリティを語るときは、他の標準ではなく、間違いなくITILを念頭に置いている」と、ITILに肩入れする。

　メレンデス氏によると、そのほかにもマイクロソフトやインテル、オラクルなどが、ITILをプッシュしているという。

SAS 70

　SAS 70は、米国公認会計士協会（AICPA）が1992年に策定した監査標準である。SAS 70監査によって、サービス・プロバイダーのITおよび関連プロセスに関するコントロールを、独立した監査法人が検証したことが公に認められる。

　もっとも、SAS 70はあらかじめ定義されたコントロールの目標などをチェックするものではない。AICPAの標準に従って、サービス・プロバイダーに対する現地調査、品質管理、報告、および監査完了後の監査人の意見を含む正式な報告書の作成・発行などを監査法人が行うというものである。

　なお、SAS 70では２種類のリポートが作成される。１つは、特定の時点におけるサービス・プロバイダーのコントロールについて説明するリポート、もう１つは、サービス・プロバイダーのコントロール・アクティビティとプロセスに関する詳細なテスト結果を、最低でも６カ月ごとに報告するリポートだ。

　サービス・プロバイダーは、クライアントとの契約に臨むあたって、情報をホストしたり処理したりする際には適切なセーフガードがあることを、クライアントに対してアピールする必要がある。その折り、サービス・プロバイダーがSAS 70に対応していれば、クライアントおよびクライアントの監査法人に、公式のリポートとしてそれを示すことができる。一方、クライアントにとっては、サービス・プロバイダーのコントロールに関する詳細な情報や、コントロールが効果的に行われているかどうかの客観的な評価を得ることができるというメリットがある。必要であれば、それらの情報を自社の監査法人にチェックさせることも可能だ。

　ただし、セキュアネットのネルソン氏によると、SAS 70は単に現在のコントロールが機能しているかどうかを確認するものであり、必要なコントロールがすべて適切に実施されているかどうかまでチェックするものではないという。

NIST（NIST 800-53）

　多くの企業が今日採用している標準やモデルほど広く認知されているわけではないが、情報セキュリティ専門家によると、連邦政府で利用されている新しいフレームワークも、企業のセキュリティ強化にかなり役立つはずだという。その新しいフレームワークとは、2002年に制定された連邦情報セキュリティ管理法に基づいて米国国立標準技術研究所（NIST）が策定した、NIST 800-53である。このフレームワークは、米連邦政府の上級官庁をサポートする情報システムのセキュリティ・コントロールを選択／決定するためのガイドラインを提供するものである。

　セキュアネットのネルソン氏は、「サービス管理分野におけるITILと同様、NIST 800-53も、情報セキュリティ分野に受け入れられる可能性がある」と期待する。

　ネルソン氏によると、このフレームワークは、企業におけるコントロールやITサービスのレベル向上を目指す一般的な標準よりも、さらに包括的なセキュリティ・ガイドラインを提供するという。また、セキュリティ認証や認定プロセスなどの面では、他の標準より柔軟性が高いとも、同氏は指摘する。

　NIST 800-53は現在、連邦政府の非軍事部局のみで利用されているが、ネルソン氏によると、民間セクターにも適用できる十分な汎用性を持っているという。同氏は、この標準が普及すれば、「セキュリティ・ガバナンスに関しては、連邦政府が主導権を握るようになるだろう」と予測する。

(Computerworld.jp)