PR

監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・夏目雅好(ネットマークス 公認情報システム監査人)

 前回はリスクアセスメントのベースラインアプローチについて解説しました。今回はリスクアセスメントの詳細リスク分析について、触りの部分をご紹介します。

■情報資産の評価──重要性と脆弱性

 詳細なリスク分析をするには、まず情報資産を取り出さなくてはなりません。情報資産の定義は組織により異なりますが、今回は総務省のホームページにある「地方公共団体における情報セキュリティ対策に関する調査研究報告書」のIII-6に例示されている通り、「紙データ」「電子データ」「知識」を情報資産とします。

 しかし、データや知識はそれ単独で存在しうるものではなく、ITシステムやフロッピーディスク、DVDなどのメディアや人の記憶に保管され処理されるものです。そこで、

(1)
情報資産のCIA()についての評価
…データや知識の重要性の評価
(2) セキュリティ対策の評価
…ITシステムや人に関する脅威と脆弱性の評価

という2つの作業を実施しなければなりません。

情報資産のCIA:「機密性 Confidentiality 」「保全性(完全性) Integrity」「可用性 Availability」

■図1 データとITシステムの関係
プロセス

■各部署にアンケートを配布して評価を依頼

 自治体が保有しているデータには、内部情報と住民情報があり、前者の例としては職員の人事・給与など人事情報や予算、決算などの会計情報が上げられます。後者の例としては戸籍や住民基本台帳に記載されている情報、地方税の納税に関わる情報、生活保護や児童福祉手当の受給に係わる情報、介護保険の認定・申請・受給などに関わる情報などがあります。

 これらについて、機密性、保全性(完全性)、可用性などの視点で評価するわけですが、膨大な数のデータがありますので各部署にアンケートを配布して評価を依頼するのが一般的です。

 情報セキュリティ対策推進会議決定の「情報セキュリティポリシーに関するガイドライン」では(図2)のような情報資産調査票の例が載っています。

■図2 情報資産調査票例の抜粋
情報資産調査票
情報資産  
用途  
管理者  
利用者(アクセス権限)  
保存(設置)場所  
保存(設置)期間  
重要性 I・II・III・IV
機密性 [I・II・III・IV]
完全性 [I・II・III・IV]
可用性 [I・II・III・IV]
重要性の分類
I:
セキュリティ侵害が、国民の生命、財産、プライバシー等へ重大な影響を及ぼす。
II: セキュリティ侵害が、行政事務の執行等に重大な影響を及ぼす。
III: セキュリティ侵害が、行政事務の執行等に軽微な影響を及ぼす。
IV: 影響をほとんど及ぼさない。

 こうした調査票を各部門に配布し、ある程度組織内で経験を積まれた方々に評価してもらうわけですが、ここで重要なのは『評価のものさし』をどうするかです。『評価のものさし』がないと、同じ情報資産についてAさんは「重要性 I」、Bさんは「重要性 III」と評価してしまう可能性があります。

 ISMS(情報セキュリティマネジメントシステム)は、情報資産に対するリスクアセスメントから始まりますが(図3)、この情報資産の評価はリスクアセスメント自体の始まりですから、この時点での信頼性が低いとこの先すべての活動に影響してしまいます。

■図3 情報セキュリティ監査研究会報告書
2.2.1 情報資産に対するリスクアセスメントから始まるマネジメントサイクル構築の思想
 情報資産に対するリスクのマネジメントを効果的に実施するにあたっては、情報資産に対するリスクアセスメントを行い、それにしたがって適切なコントロールを割り当てることが出発点となる。
〔出典:『情報セキュリティ監査研究会報告書』 経済産業省〕

 真面目にISMSに取り組む組織は必ず直面する最初のハードルです。各組織の業務に精通している者が評価を行うことは避けられませんので、大人数でバラバラに評価するための『評価のものさし』を策定しなければなりません。

以下に、いくつかの手法をご紹介します。

◎情報資産の代表的なものをいくつかサンプリングし、情報セキュリティ委員会で評価をしたものを具体例として提示します。評価者が相場観のようなものをつかめるように、サンプルが組織内で広く利用されている情報資産であると『評価のものさし』として利用し易くなります。

◎調査票の結果を情報セキュリティ委員会でレビューし、情報資産の重要性評価が評価者が違うことによるバラつきを平準化します。つまり『評価のものさし』を一部の人達のみで共有する方法です。

◎住民個人情報などデータベースの場合、重要性は情報の取り出し方次第なので、氏名、住所などの基本情報と納税、保険などの付帯情報に分け、要素の組み合わせで重要性の『評価のものさし』を決めていきます。既存の情報資産からサンプリングし、情報の要素と現在の取り扱い状況から重要性『評価のものさし』の閾値を探っていきます。

■情報セキュリティ管理基準を利用したアンケート

 情報資産(今回は紙データ、電子データ、知識)は、漏れなく抽出する必要があります。情報資産の抽出方法については、オフィスのキャビネットや机の引き出しを開け書類ファイルを調査したり、サーバやPCのハードディスク内に保存されたデータを検索するのも一つの手法ですが、ここではデータフローからの抽出を紹介します。

 データフローとは、データを発生源から「処理」の入力と出力で追いかけ図にしていくもので(図4)、システム開発時に用いるDFD(データフローダイアグラム)と考え方は全く一緒です。

■図4 データフロー図
プロセス

 例えば、住民票の写しを発行するまでのフローを簡略化して表現してみます。図中の青文字がデータで、矢印がデータの流れ、赤丸が処理、緑四角がデータの保管先を意味します。

 図4で申請者からの出力『住民票の写し交付請求書』は情報検索処理に入力され、情報検索処理終了後の出力として会計処理に入力され、会計処理後書庫へ保管されるまでの3回、各処理を経るに従い内容が更新されていく状況が把握できます。同様に『住民票の写し』や『レシート』の流れも見て取れます。

 このようにキャビネットの書類を調査しただけでは、単に『住民票の写し交付請求書』として1つカウントされるだけだったものが、データフローでは3つの局面を抽出できます。最初に書きましたように情報資産はITシステムやメディアにのっています。ですから、リスクアセスメントを行う上では、データフロー上のデータの流れと各処理で使用するITシステムやメディアに関する脅威と脆弱性の評価を行わなければなりません。また、その時々の利用者も明確ですから人的対策の評価をする上でも有効です。

 一般に、「ITシステムは電算担当課が面倒をみるもの」ということで、情報セキュリティ対策についても電算担当課の仕事とされてしまうことも多いのですが、このようなデータフローを各部門で書いてみることで、実はIT利用者が適切に利用することが肝であることを各部門が理解する助けともなります。

 「情報オーナー」という概念は一般的に根付き難いのですが、このフロー全体のオーナーを決め、オーナーが各処理での情報資産の扱いを決めることにより、「情報オーナー」としての意識の醸成を図ることも期待できます。

◆     ◆    ◆


 一般的にセキュリティ対策は企画・設計段階で、その時点で製品化されている技術を採用します。ところが、導入時には適切なセキュリティ対策であったものが陳腐化していたり、システム化しない部分を運用でカバーするはずが、運用・利用者のセキュリティ意識や知識の差により運用方法がバラついていたりします。

 情報セキュリティの状態に漠然とした不安感を抱かれている組織を管理されている方々には、このように情報資産の価値を網羅的に評価し、システムやその取り扱いに関して横串を刺して見ることで、現状のシステムや運用・利用上のセキュリティ対策の過不足を抽出できることの意義は十分理解して頂けることと思います。

 そして調査を進めていくと、どのような情報資産ならどの程度の対策をすべきかの基準も見えてくることでしょう。


情報セキュリティ監査制度(経済産業省) セキュリティ管理基準
「サブコントロール」解説コーナー(2)

4.3.4.1 事件・事故及び誤動作の種類、規模並びに費用の定量化及び監視を可能とする仕組みから得られる情報を、事件・事故の再発若しくは影響の大きい事件・事故又は誤動作を識別するために用いること

【解説】

 製造業の現場では先達の知恵による「ヒヤリ・ハット」や「KY(危険予知)」活動が現在に至るまで連綿と続けられており、事故(アクシデント)に結びつくような予兆(インシデント)を検知し、改善してきました。

 情報セキュリティは人命や怪我に直接つながるような事故が少ないため、リスクが顕在化して初めて問題視されますが、ITは高度化し、システムは複雑化する一方ですので、アクシデントの影響規模も拡大する傾向にあります。

 情報資産に関するアクシデントやインシデントを報告することを規定しているセキュリティポリシーをよく見受けますが、それに加え被害額を算出し、経験値として蓄えていくことを追記することをお勧めします。

 このサブコントロールにあるように事件・事故を識別する目的のみならず、情報セキュリティ対策の効果測定や予算の策定にも役立てられることの価値は計り知れません。

筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。