PR

監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・河野省二(ディアイティ セキュリティビジネス推進室 室長)

 セキュリティ・マネジメントでは最初にリスク分析を行うものとされています。リスク分析をせずにセキュリティ対策をしても、その実行性に乏しくなってしまうというのが大きな理由です。

 リスク分析の目的は、リスク(損失が生じる可能性)が、どこにどのくらいの大きさで存在するかを知ることであり、その結果を利用してセキュリティ対策のためのスケジュールを組み立てるのに役立てます。

 実は、リスク分析にはもっと大きなメリットもあります。それは関係者の全員参加を促すことができるということです。詳細なリスク分析を行うには、情報資産(前回のコラム参照)を管理したり利用する人たちがどのように対応しているのかを知ることが重要であり、それを行うことでセキュリティに対する関心を深め、抑止力とする事ができるのです。

■リスク分析の種類

 リスク分析にはいろいろな種類がありますが、定番と呼ばれるものはありません。ここではGMITS(ISO/IEC TR 13335)で紹介されている4つの方法を紹介します(図1参照)

■図1 GMITSで紹介されているリスク分析手法
分析手法 内容
ベースラインアプローチ すでにある標準・規程をもとに、準拠の度合いを調査していく。
非形式アプローチ 構造化された方法ではなく、コンサルタントや技術者など知識のある個人が、個人の知識および経験に基づいて行う。
詳細リスク分析 組織内の情報資産すべてにおいて、綿密な確認および評価を行い、それをもとにリスクの大きさを評価する。
組み合わせアプローチ 対象の重み付けをベースラインアプローチで行い、リスクが高いと評価された情報資産に対して詳細リスク分析を優先的に行う。

 今回はリスク分析のはじめの一歩と言うことで、簡単なアンケートによるベースラインアプローチの手順を紹介します。

 さて、実際にアンケートをするといっても、それほど簡単ではありません。質問項目を作るにはセキュリティに関する知識が必要ですし、現場のイメージを把握しておくことも必要です。よそから持ってきたアンケートをそのまま取り入れても、あまり効果的ではありません。

 そこでリファレンスとして利用するのが、それぞれの組織が作成したセキュリティ対策基準(スタンダードとも呼ばれる)です。あなたの組織のセキュリティ対策基準には、守るべき様々な項目が分類されて列記されているはずです。これを基に、アンケートを作成することが可能です。

 もしもまだ、情報セキュリティ対策基準を策定していないのであれば、経済産業省の情報セキュリティ監査制度の別添資料となっている「情報セキュリティ管理基準」を利用するのがよいでしょう。情報セキュリティ管理基準は、JIS X 5080に示されるベストプラクティスを1000近くの管理策に細分化したもので、これからセキュリティマネジメントに真剣に取り組もうとしている方の助けとなるでしょう。

■情報セキュリティ管理基準を利用したアンケート

 それでは、経産省の情報セキュリティ管理基準を使った簡単なアンケートによるベースラインアプローチを行ってみましょう。

 情報セキュリティ管理基準は、10個のパートに分かれています。それぞれが独立した章立てとなっていますので、目的(適用範囲)に応じて内容を抽出すると良いでしょう。

 経済産業省の「情報セキュリティ監査制度」のページでは、編集可能なファイルとして情報セキュリティ管理基準が公開されています。ここから、アンケートを作りやすいようにエクセル形式のファイルをダウンロードする事にします。

 このファイルを見ると分かるように、セキュリティの管理策は「コントロール」と「サブコントロール」に分かれています。「コントロール」は、ISMS認証でいうところの「適用宣言書」の項目に相当するもので、「サブコントロール」はこれらを全うするための具体的な管理策となっています(これをそのままアンケートとしても構わないのですが、すべてのスタッフを対象とした場合には、質問数も多すぎ、所属部署によっては内容がそぐわない部分も出てきてしまいます)。

 今回はすべてのスタッフにアンケートを行うことを目標に、認証を中心とした管理策(コントロール)を抜き出すことにしましょう。主に第7章(7.1~7.8)を参照するとよいでしょう。

 最初から情報セキュリティ管理基準の「サブコントロール」すべてをチェックしてアンケートを作成してもよいのですが、それでは余りに時間がかかり過ぎてしまいます。まずは「コントロール」の項目を検討することにしましょう。

 「コントロール」は数字が3つ並んでいる項目です。たとえば、第7章には

7.2.1. 複数の利用者をもつすべての情報システム及びサービスについて、それらへのアクセスを許可するための、正規の利用者登録及び登録削除の手続きがあること

 という項目があります。このレイヤーが「コントロール」です。この「コントロール」で掲げられている管理策を具体的に実行するための詳細管理策を「サブコントロール」と言い、情報セキュリティ管理基準では4つの数字が並んだ形で記載されています。

 まず、「コントロール」からアンケートで使う項目を選び出し、その下の「サブコントロール」を参照してアンケートを作成していきます。「コントロール」だけを抽出したファイルを用意しましたので、これを利用して必要な項目を抜き出すのに役立てて下さい。

 「サブコントロール」を眺めていただくと分かると思いますが、文章が分かりにくい部分があります。できる限り汎用的に使えるように配慮していることが、かえって解りにくくしているのです。アンケートを作成するときには、この文章のまま利用しなくても構いません。アンケートにおいて重要なのは、回答者が設問を正しく理解することであり、それに対して正しい回答をすることだからです。

 先ほど選択したコントロール7.2.1の中にある「サブコントロール」の一つを例に、アンケートらしい文章に変更してみます。

原文) 7.2.1.9.
利用者登録手続において、アクセス権の宣言書を利用者に発行すること
 
 
修正後) あなたは、IDの発行時字に配布されたアクセス宣言書をいつでも見られる場所に保管していますか

 この管理策(7.2.1.9.)を採用している組織の場合、利用者には、登録手続きの時にアクセス権の宣言書が発行されるようになっているはずです。アクセス権の宣言書というのは、サーバなどにおいて、どのようなアクセス権が設定されているのかを明確にするための文書であり、利用者はこの内容について正しく理解していなければいけません。つまり、利用者はアクセス権の宣言書がどこにあって、何が書かれているのかを知らなければいけないのです。

 いかがでしょうか。これで少しは解りやすくなったのではないかと思います。

 では、この質問項目についての回答欄を作成することにしましょう。答えやすいアンケートを前提としますので、回答の選択肢も分かりやすく「はい」「いいえ」「部分的に実施している」の3つとします。さらに、ここで「はい」以外を選択された方には、その理由を書いていただくことにします。

 これで一問完成です。

 あとは同様の作業を繰り返し、必要なだけ設問を作成します。ただし、あまり多く作りすぎても回答者のレスポンスが悪くなり、かえって非効率になりますので気をつけて下さい。

 こうして作成したアンケートは、みなさんの組織の短期的な目標を兼ねたセキュリティポリシーとすることもできます。

 逆に言うと、すでにセキュリティポリシーを策定している組織のみなさんは、アンケート実施の前に、質問項目がセキュリティポリシーに準拠しているかを確認する必要があるということです。セキュリティポリシーの見直しは怠りがちですが、こうしてアンケートなどを実施することで、定期的に確認することが可能です。

 どのようなアンケートができるかは、みなさんの環境に依存しますが、対象となるすべての方に理解していただきやすいアンケートを作成することで、それがセキュリティ・リテラシーの啓もうにもなります。その結果として、ヒューマン・エラーの抑止力となるでしょう。

情報セキュリティ監査制度(経済産業省) セキュリティ管理基準
「サブコントロール」解説コーナー(1)


 この連載では、少しずつみなさんに「セキュリティ管理基準を」知っていただきたいと思っています。これを機会にぜひ情報セキュリティ管理基準に触れてみて下さい。分かっているつもりだった内容について、より深く知ることができるようになるでしょう。今回は「5.2.5.6」のサブコントロールについて解説します。

5.2.5.6 在宅作業について、適切な管理策(施錠可能な文書保管庫、クリアデスク方針及びコンピュータのアクセス制御策)を適用すること

【解説】
 ノートパソコンを利用している皆さんの中には、自宅で会社の仕事を行っている方がいるかもしれません。あなたが大事だと考えている書類やデータを、家族の皆さんが同様に重要に考えてくれているとは限りません。お子さんの落書き用に渡した裏紙が実は会社の重要なデータだったというのはよくある話です。筆者はそれがテレビの子供番組の似顔絵コーナーで紹介されてしまったのを見たことがあります。

 また、電車の中で網棚に載せたかばんが盗難にあうという事件が最近は頻繁に起きているようです。大事なコンピュータ、データ、携帯電話などは目の届く範囲で管理しましょう。

筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。