前のページに戻る   このページを印刷

IRCA
Click here to visit the main IRCA website

このページを送信

精査を受けるIT

ITセキュリティは、職場環境を支援するものではなく、障壁となるという悪評があります。しかし、この状況は変わりつつあり、ISO 27001という新しい情報セキュリティ規格が、組織のITセキュリティ活動の着眼点を事業の現実のニーズへの移行させる一助となっています。以下、Alan Calder Steve Watkins がリポートします。

ISO 27001 は、世界初の正式な国際的に認められた情報セキュリティ・マネジメントシステムの仕様書です。想像以上に広い活用法が考えられますが、使い方を誤れば、化石と化し、日進月歩の技術と技術の脅威から取り残されかねません。

新しい専門職

情報セキュリティは比較的新しい職業分野ですが、それを言うなら、現代のコンピュータやコンピュータネットワーク産業も同様です。しかし、IBMによるPCの発明でも、マイクロソフト社の創立でもなく、1970年代中盤のインターネットの出現こそが、デジタルデータが益々大量に、益々大勢の人々によって送受信、格納されるという新しいオンラインの世界を生み出しました。

コンピュータのハッカーは、企業がコンピュータに情報を保存するようになった頃から、既に出現していたと言えます。インターネット以前は、ハッカーは、コンピュータに物理的にアクセスしなければ、データにアクセスを試みることもできませんでした。しかし、一つのコンピュータが別の幾多のコンピュータに恒久的に接続されることとなると、リモートアクセスによるハッカーには際限のない機会が与えられました。その次にはウィルスが登場しました。最初のコンピュータウィルスは今から20年前に現れました。そして、今日では、インターネット上を自由に行き来する「野生化した」ウィルスが12万種もあります。

私達は、21世紀は情報の時代だと考えています。そうであれば、どの企業にとっても、その貸借対照表の中で最も重要なものは、知的資本です。この無形資産には、

  • ブランド、商標、著作権や特許権などの知的所有物
  • 顧客とサプライヤーのデータベース
  • 個人や部門スタッフのノウハウ
  • 業務プロセス
  • 組織としての力量(組織がその事業目標を達成することを可能にするノウハウ、プロセス、システム、経験の複合物)

が含まれます。

知的資本は、その存在自体がITに依存しており、言うまでもなく、ITは外部攻撃に弱く、また、内部からの背任行為にも弱く、このような背任は、ベアリングス銀行事件の例にも示された通り、数時間のうちに組織そのものの存在を破壊することにもなり得ます。ITは更に、人間の単純ミスにも弱いものです。

個人のプライバシー 

そしてもちろん、リスクにさらされているのは、企業情報だけではありません。氏名、住所、社会保険番号、クレジットカード情報などの個人や消費者の個人データを持つデータベースも、日々、増加拡大しています。これらは、このような情報を使って巨額の資金を音も立てず波風も立てずに全く疑われることなく世界の反対側へ動かすことができることを知っている犯罪者達が人物詐称を企む時に、格好の標的となります。

残念ながら、消費者は、このような脅威に対して自らを守るような行動を、自宅でも職場でもあまり取っていません。最近の調査では、対象者の85%が、スターバックスのコーヒーと引き換えに個人のパスワードを教えてしまいました。対象者には、会社のパスワードを思い出して(教えて)くれたら、コーヒーを無料で提供すると誘いました。それでもパスワードを教えなかった人の大半が、パスワードには母親の旧姓を使っているか、子供の誕生日を使っているかなどの質問には、答えてしまいました。規制当局もこの状況に気がついています。個人情報の窃盗から消費者を保護することは得票につながると考えてか、データ保護と個人のプライバシー関連の法制は、経済協力開発機構(OECD)加盟国のすべてで、次々と制定、整備されています。

EU諸国もすべて、厳しい規制を実施しており、米国では、国内各州の半数以上が同様の施策を実施しています。もちろん、これらの国内法の間には、なんらの調整はなく、管轄当局が異なる複数の国・地域で営業する企業(あるいは、管轄当局が異なる複数の国・地域からの消費者のデータを一つのデータベースに持つ企業)は、相互に矛盾する可能性のある法規の適用を受けています。そして、このような矛盾にメスを入れた判例はまだ存在しません。

法規制の遵守

一般的な個人のプライバシーは氷山の一角でしかなく、産業分野に特化した要求事項があります。たとえば米国のHIPAA(健康保険の携行性と責任に関する法律)やGLBA(グラム・リーチ・ブライリー法)、ビザカードとマスターカードを受け付けるすべての商店に適用される決済カード業界要求事項、金融サービス法による規制、などです。また、企業ガバナンスに関する益々複雑化する監査・審査要求事項があり、組織の財務が依存している情報・通信システムのセキュリティとコントロールに問題がないことを保証しなければなりません。

「ITセキュリティ」は、ITチームによるコントロール事項・手段の選択と実施ですが、これは、組織が直面する広範で複雑な課題に対する有効な解決策ではありません。すべての組織が必要としているのは、情報セキュリティへの一貫した包括的なアプローチであり、しかも組織の具体的なニーズや状況に合わせて対応できるようなものです。つまり、答は、ITセキュリティではなく情報セキュリティなのです。

ISO 27001では、情報セキュリティは、「情報の機密性、完全性、可用性の保全」と定義されます。また、真正性、アカウンタビリティ(説明可能性)、否認防止、信頼性も関与することがあります。

  • 可用性―「正当な権利のある個人・法人の要請に応じてアクセス可能で使用可能であること」
  • 機密性―「情報が、正当な権利のない個人、法人、あるいはプロセスに対して可用になったり、開示されたりすることがないこと」
  • 完全性―「資産の正確性と完全性を保護すること」

ISO 27001 は、情報の可用性、機密性、完全性を組織内部でいかに確保するかを体系的に記述しています。この規格は、情報への脅威が発生し、それへの対応を迫られることがあり得るということを認識して作られています。

これらは、当然、特定する必要のあるリスクであり、リスクというものが大概そうであるように、リスクを管理するための合理的なアプローチとは、リスクをある程度コントロールする方法を導入することです。しかしここで難しいのは、情報管理者が情報セキュリティに関する真のリスクと、それを適切にコントロールする手段を特定することができても、それを実施するにはコストが発生し、ありとあらゆるコントロール方法を実行することが、コスト的に可能、合理的、かつ必要である可能性はほとんどないということです。

英国では、組織は以下の要求事項も考慮しなければなりません。

  • データ保護法
  • コンピュータ不正利用法
  • プライバシー関連諸規制
  • 著作権、意匠及び特許権法
  • そして、公共機関の場合は、情報開示法

これらのすべてが、情報マネジメントに直接影響します。

1998年に、情報セキュリティマネジメントの要求事項を規定するある規格のための新たな認定された認証システムが導入されました。この規格とは、BS 7799パート1と2(パート1が行動規範、パート2が組織の評価の基準となるマネジメントシステムの仕様)です。

2000年には、パート1が若干の修正後、ISO/IEC 17799という国際規格になって再発行されました。以来、かなりの改訂・再発行を経て、2005年現在も、具体的なリスクに対応するためのコントロール項目の一覧を主要部分とする行動規範を規定する規格であり続けています。同規格は、広く採用され、その原則は、決済カード業界規格から米国連邦情報セキュリティマネジメント法まで、多方面に反映されています。

マネジメントシステムの仕様書であるBS 7799パート2は、2002年に改訂され、PDCAモデルを導入しました。2005年までには、世界各地で導入されていたBS 7799-2の各国用ローカライズ版も、進化した英国規格を主な起源とするISO 27001という一つの国際規格に取って代わられました。

ISO 27001 は、PDCAサイクルを、情報セキュリティマネジメントシステム(ISMS)の導入と実行の手段と定義します。規格は、このサイクルの各段階を一つ一つ辿り、以下を行うことを要求します。

  • 計画(Plan)-ISMSの範囲を定義する。情報セキュリティ方針を定義する。個別の情報資産ごとに、体系的なリスク評価を実行しリスクを定義する。これらのリスクの処理法の選択肢を特定し評価する。コントロールの目標とコントロール事項・手段をリスク処理の各決定事項に対して選択し、適用の記述を作成する
  • 実行(Do)-プロセスと手順の計画書を含むリスク処理計画書を作成する。リスク処理計画とコントロールの手段を実施する。従業員への訓練を実施し意識を向上する。ISMSに沿って事業運営や資源を管理する。セキュリティ問題に関する言葉遣いと対応の手順を実施する。
  • 評価(Check)-モニターし、テストし、監査・審査し、見直す。
  • 改善(Act)-評価段階から得られた所見を再検討し、リスクに何らかの影響を与える要因の変化に対応するための処置を含む処置を取る。

ISO 27001 ISO 17799

ISO 27001の付録Aは、コントロール事項の一覧です。 134項目あり、12のコントロール分野に大分類されます。これらのコントロール事項は、ウィルスからモバイルコードから知的所有物の窃盗、事業の継続性、アクセスコントロールまで、考えられるすべてのリスク領域に対応するものです。付録Aのコントロール事項は、ISO 17799に含まれるものと重複しています。ユーザーは、コントロールを実施するためのグッドプラクティスのガイダンスとしてISO17799を参照することになっています。つまり、ISO 27001は、ユーザーが、ISO 17799のコントロール事項が整合性のある枠組みの一部となり得るようなマネジメントシステムを供えるようにするという形で、

ISO 17799を使用することを要求しているのです。

計画段階の一環として、組織は、適用の記述を作成しなければなりません。これは、原則として、付録Aに一覧されているコントロール事項のいずれが当該組織に適用され、それをどのように実行するのかという記述です。例えば、付録Aの5.1項のコントロールの記述としては、組織が情報セキュリティ方針を持ち、それは取締役会の署名を得ており、全従業員と適切な第三者が使用できる状態で組織のイントラネット上に掲載されていることなどを記述します。コントロール事項が適用されない場合、当組織はすべてのソフトウェアを第三者であるサプライヤーから入れているので、ソフトウェア開発に関わるコントロール事項の実施は要求されない、などの説明がなければなりません。

事業として成り立つということ

ISO 27001 は、一貫性のある統合された情報セキュリティ・マネジメントシステムの厳しい仕様を提供し、しかも、ベンダーや技術の種類を問わず中立的に使用できる内容となっていますが、それでも万能薬ではありません。ISO 27001のシステムの設計実行は、生易しいことではありません。本当の意味での成功は、リスク評価のプロセス、マネジメントが本当にどれほどコミットしているか、そして、従業員やユーザーの日々の実践面での関与という三つの要素にかかっています。

事業目標の追求を阻害することなく、コスト効果の高い方法で事業を保護するのに役立つようなコントロール手段のみを実行するべきであるということが、ISO 27001の大原則です。この原則を守る組織では、情報セキュリティチームは事業の阻害要因ではなく、牽引要因と見られます。このような状況は、CEOをはじめマネジメントが情報セキュリティを一つのシステムとして、また理念として、率先して理解し、組織に迎え入れることによってのみ、実現可能です。マネジメントがセキュリティ担当者に事業全体としてのガイダンスを示し、継続的にリスク評価へのアプローチを定義し実施すると、そのような組織では情報セキュリティへの真に建設的なアプローチが進化し得るのです。

進化する技術

インスタントメッセージ、VoIP電話、無線ネットワーク、ブログなどは、企業社会に急速に展開する技術です。これらは、当初は消費者向け技術とみなされていました。なぜなら、典型的なエンタープライズ級製品の堅牢性や、エンタープライズ級製品に一般的に期待される内蔵セキュリティのレベルを満たしていないからです。しかし、これらの技術は、非常に便利で、非常に簡単に使用することができるため、ITセキュリティ担当者の頭痛の種となっています。彼らは、日進月歩する技術トレンドと進化する新たな侵入シナリオに、常に目を配っていなければなりません。

多くのグローバル企業で、情報セキュリティネットワークへのアクセス方針は、業務側に相談することなくITチームにより設定されています。その結果、業務ユーザーは、しばしば、USBメモリースティックを使用して、システムの規則を曲げ、データをコンピュータ間で移動していまい、データ紛失、データ破壊、データ複製などに伴うあらゆるリスクを発生させています。これに対する正しい対応は、USBをブロックする技術を全社的に展開することではありませんが、そうなってしまう例がしばしば見られます。

このような組織では、情報セキュリティが事業の首を絞めています。リスクに基づいたコントロールとマネジメントによる指導を重視したISO 27001システムを展開することにより、このような組織を自滅から救うことができるかもしれないのです。しかし、一部にはリスクに基づくコントロールと事業の成功を志向するソリューションという原則を無視して、すべてのコントロール事項を実施しようとし、ISO 27001を文字通りに適用してしまう組織も、必ず現れるでしょう。このような組織は、急激に変化し続ける技術市場から現れる新しい脅威の中で生き抜くことはできないでしょう。例えば、インスタントメッセージを使用したいというユーザーの要望に、この機能を無効化することで対応し、ブログを禁止し、インターネットサーフィンを著しくやりにくくしてしまうでしょう。

情報セキュリティは、その重要性が日々増しています。企業ガバナンスの概念と法的要求事項が発展する過程で、情報関連の諸側面が言及されることが益々多くなっています。英国では、内部コントロールとリスク管理に関するターンブルのガイダンスで、ITガバナンス、ITプロジェクトのリスクの効果的な管理、及びコンピュータセキュリティに関して行動するという明確な責任が上場企業の取締役達にはあるとしています。このような話題に関する論議は、情報時代の今日、下火になることはないでしょう。

 

筆者について

Alan Calder とSteve Watkins は、IT Governance Limited社の経営者です。同社ウェブサイト (www.itgovernance.co.uk) は、ISO 27001を含むITガバナンスや情報セキュリティの課題に取り組む企業を支援する解説書、ツールキット、アドバイス、ガイダンスなどを満載しています。共著「ITガバナンス:経営者のためのデータセキュリティとBS7799/ISO17799ガイド(原題IT Governance: a Manager’s Guide to Data Security and BS7799/ISO17799)は、ISO 27001認証取得のための、平易な文章で書かれたガイドブックです。

©2005 IRCA. All rights reserved www.irca.org 連絡先 略語

表紙  
特集 arrow
ニュース
フィードバック