PR

監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・河野省二(ディアイティ セキュリティビジネス推進室 室長)

 総務省の情報セキュリティ監査に関する報告書では、被監査主体(地方自治体)が作成する発注仕様書の中に次の項目があります。

  1. 監査目的 ・・・ 助言型、保証型などを含め記載
  2. 監査対象 ・・・ 監査の範囲を記載
  3. 適用基準 ・・・ 総務省が提示している情報セキュリティ管理基準をカスタマイズ

 1.と2.については特に問題ないでしょう。ただし、3.の適用基準については、総務省が提示しているものを、自らの情報セキュリティポリシーと照らし合わせ、必要に応じて取捨選択しなければなりません。

 また、情報セキュリティ管理基準で必須項目とされている内容が自らの情報セキュリティポリシーに組み込まれていない場合は、監査以前に情報セキュリティポリシーの見直しが必要になるかもしれません。

 つまり、監査に関する発注仕様書を書く前に、ポリシーの準拠性という意味で、総務省が提示している管理基準を活用したベースラインアプローチを実施する必要があります。簡易的ではありますが、これが発注書作成の前のリスク分析と言うことになります。

■情報セキュリティ監査とポリシー策定の関係

 情報セキュリティポリシーを策定している組織は、PDCAサイクルに従ってセキュリティマネジメントを運用していると思います。しかしながら、いくつかの組織においては、PDCAサイクルのそれぞれのフェーズを独立させて考えている場合があります。つまり、Planにおける情報セキュリティポリシー策定と、Checkにおける情報セキュリティ監査を別の考え方で実施しようとしているということです。

 情報セキュリティ監査の目的の一つは、情報セキュリティポリシーで定義した様々な情報セキュリティ管理策を、実際に実施(Do)して見た結果、それが期待通りに機能しているかどうかを調べることです。つまり、設定した情報セキュリティレベルに達しているかどうかを調べること(保証型監査)、設定した情報セキュリティレベルとの間にどのような差異があり、どんな是正措置を実施すれば良いかのアドバイスを受けること(助言型監査)ができます。

■図1 PDCAサイクルと監査の関係
PDCAサイクルと監査の関係の図

■求められるセキュリティ対策とセキュリティポリシーのギャップを埋めるために

 しかしながら、情報セキュリティ管理基準やJIS X 5080で求められているセキュリティ対策をそのまま組織内に運用することは困難です。これらをうまくカスタマイズすることで、組織に合うセキュリティポリシーを策定することが可能です。

 カスタマイズに必要なのは、セキュリティ技術に関する知識ではなく、ルールをどのように構築するかという考え方です。セキュリティポリシーを策定する前提となる知識としては、組織内の業務についての基本的な理解があれば十分です。自らセキュリティポリシーを作るはじめの一歩として、ルールとはどうあるべきかについて考えてみましょう。

 今回は筆者が情報セキュリティトレーニングで実施している演習を紹介します。情報漏洩などの原因となる軽微なルール違反は信号無視と同じような軽い気持ちで行われています。だれでもが共通認識していると思われる、交通ルールをもとにルール順守について検討するのがこの演習です。

 交通ルールと情報セキュリティポリシーは違うから・・・という判断は「バカの壁」かもしれません。一度、演習にチャレンジしてみてください。

■ルールはどうやって作る?守る?信号ルールから考える

 交通安全のために、道路には信号機が設置され、信号の色によって横断ルールが決められています。しかし、信号無視をする人も少なくなく、ルールが守られているとは言い難いのが現実です。ルールを知っている人ばかりなのに、ルールが守られていないのはなぜでしょうか。

 今回のトレーニングでは、信号機と横断のルールについて考えてみます。

 まず、信号機とルールの関係を明確にしましょう。一般的な交通ルールと言葉が異なるかもしれませんが、以下のように設定をします。

■表1 信号機のルール
シグナルの色 取るべき行動
進め
黄(青点滅) 横断注意
止まれ

 あなたが歩行者だとした時、車用の信号との組み合わせには次のパターンがあります。

■表2 あなたの行動
歩行者用 車用 あなたの行動 ルール
   
点滅    
   
   
   
   

 上の2つの表を利用してトレーニングを実施します。以下の問いに答えてください。

設問 1.1.
  まずは表2の信号の色の場合それぞれについて、歩行者であるあなたは横断歩道を渡るかどうかを、正直に書いてください。「あなたの行動」の欄に、「進む」もしくは「止まる」を記入します。交通ルールの確認ではありませんので、あなたのいつもの行動を書いてください。

解説 1.1.
 すべて記入できたでしょうか。この設問は読者の皆さんだけで考えるのではなく、組織のあらゆる部門で数名の方を対象にやってみると良いでしょう。興味深い結果が得られると思います。

 ここで重要なのは、プロセスについて検討すると言うことです。

 勘の鋭い方はおわかりになられたかもしれませんが、この表の中には「歩行者用、車用ともに赤」という箇所が2つあります。しかし、状況を考えるとこの2つは大きく異なります。また、この2つの時にもっともルール違反が起こりやすい箇所でもあります。とはいえ、違反する人はこの2つの「歩行者用、車用ともに赤」の両方で違反する訳ではないというのも興味深いところです。

 目に見える現象(止まっている状態で確認できる現象)が同じだからといって、同じ対策を施せば良いというわけではないと言うことがわかります。つまり、ルール作りやセキュリティ管理策の選択においては、そのときの状況を把握する必要があるということです。

 これには業務プロセスを正しく理解しておくことが必要であり、情報資産調査においても、業務プロセス単位で実施することによって、中間生成物などがなにかを把握することができ、より具体的で効果的なセキュリティ管理策を実施できるようになります。


設問 1.2.
  次に、交通ルールとして正しい内容を表2の「交通ルール」の欄に記入してください。

解説 1.2.
  交通ルールを確認した場合、多くの方は正しく記入することができます。つまり、交通ルールについては、十分に理解できているということです。にもかかわらず、ルールが順守できないのはなぜでしょうか。それは、それぞれのシチュエーションにおいて自由な判断をしているからです。例えば、車が来ないから安全だろうとか、急いでいるから渡ってしまおうという判断です。また、信号無視をしてもペナルティを受けることがないという回答もありました。

 あるシチュエーションにおいて、それぞれが思考を巡らすことはビジネスにおいて重要なことです。しかし、ルールを守るという点においては、これは得策ではありません。どうしてそのルールが策定されたのかどうかと言うことを理解せずに独自の判断がなされたのだとすれば、それは大きな事故につながる可能性があるからです。

 たとえば、車が来ないから安全だろうと判断した人は、本当に車が来ないことを確認したのでしょうか。その確認が万全だったと言えるのでしょうか。それはその人にしかわかりません。信号無視というルール違反においてはそれでもかまわないかもしれませんが、情報セキュリティにおいては大きな問題です。個人の勝手な判断が許されているというのは、マネジメントシステムが正しく構築されていないということを表しています。

 つまり、周知しているからと言って、それが徹底されているわけではないと言うことです。また、ルールを徹底させるためには、単に文書化したり、教育をするだけではなく、訓練や試験、誓約書など、個人がルールについて深い理解をしたという確認を得ることが必要です。


設問 1.3.
 あなたが記入した交通ルールについて質問です。あなたが「進む」と答えた箇所について質問します。ここではあなたが進むことについて、「進むことができる」のか「進まなければいけない」のかどちらでしょうか。

解説 1.3.
 今回のトレーニングのルール(表1)では「青は進め」と記なっていますから、歩行者の信号が「青」の場合、歩行者は「進まなければいけない」と判断するのが良いのではないかと思います。自動車の場合は、青信号で進まなければ後続の自動車に迷惑が掛かり、そもそもの交通ルール制定の目的の一つである交通の円滑化という意味からも「進まなければいけない」という常識的判断が働きます。一方、歩行者においては青信号で進まなくても大きな問題が出る可能性は少ないでしょう。だとしても、「青は進め」という今回のルールについて、「進んでもよい」という解釈をするのは無理があります。

 ルール作りにおいて曖昧な表記をすることは、個人の判断にゆだねた結果を導くことになります。たとえば、「できる限り速やかに報告すること」というルールは、それぞれの個人のできる範囲という曖昧さを含んでいます。つまり、個人の能力に応じた範囲でルールを順守すればよいと言うことになります。

 もちろん、こういった趣旨のルールがあっても良いかもしれませんが、それはあくまで内部だけの問題であって、監査のインタビューなどでは、ルールが正しく守られていないと判断されてしまうかもしれません。「それぞれのできる範囲で」と考えることも重要ですが、それが無制限になっていてはいけません。「少なくとも24時間以内に報告すること」といった形で制限を付けていくこともルール作りには重要なことでしょう。


■まとめ ~ルール作りに必要なこと~

 情報セキュリティのルールはそれぞれの組織にゆだねられています。国内においてはJIS X 5080が情報セキュリティにおける標準となっていますが、記載内容は最善慣行(ベストプラクティス)であり、それぞれの管理策については個別で検討し、選択するということになっています。

 ルール作りにおいては、それらを正しく実行できることを前提にスケジュールをしていくことが重要であり、そのスケジュールのマイルストーンに対して、自らの達成度を確認するために、定期的な情報セキュリティ監査が必要になります。情報セキュリティ監査を実施する自治体では、JIS X 5080の準拠を確認するとともに、情報セキュリティポリシーの見直しについても、事前準備もしくは、是正措置として実施して頂きたいと思います。

◆サブコントロール解説コーナー◆

4.2 利用者の訓練
目的:情報セキュリティの脅威及び懸念に対する利用者の認識を確実なものとし、通常の仕事のなかで利用者が組織のセキュリティ基本方針を維持していくことを確実にするため

4.2.1 組織の基本方針及び手順について、組織のすべての従業員及び関係するならば外部利用者を適切に教育し、並びに定期的に更新教育を行うこと

4.2.1.1 教育には、セキュリティ要求事項、法律上の責任及び業務上の管理策とともに、情報又はサービスへのアクセスを許可する前に実施する、情報処理設備の正しい使用方法(例えば、ログオン手順、パッケージソフトウェアの使用方法)に関する訓練を含むこと

【解説】

 今回はトレーニングを紹介しましたので、サブコントロール解説も教育をテーマにします。

 実はコンサルティング業務を主としていても、実際には教育案件を多く抱えています。これは、情報セキュリティにおいてもっとも重要なことが、組織に所属するすべての方が同じ価値観や判断をできることであり、そしてそのための施策が全体教育だからです。

 個人情報漏洩で問題になっている企業の多くは、一次対応が悪かったことが原因になっています。情報漏洩の予兆について、お客様からの連絡があったにもかかわらず、一次対応をされた方が正しい判断をできなかったばかりに情報の流通がうまくいかず、結果として大きな問題に発展してしまったということです。

 これらの問題を回避するためには、組織にとってどのような情報が重要かという「情報分類」と、「情報のエスカレーション手順」を明確にすることです。しかし、ルールを策定するだけでは十分ではありません。これらを関連するすべての方に周知徹底しなければいけません。それはアルバイトやパートの方も同様です。

 組織においては情報セキュリティ教育を業務研修の中に組み入れたり、業務中に確認できるハンドブックやナレッジベースを用意するなどと言ったことも重要でしょう。できれば、教育テキストはスライド形式ではなく、後から読み返して理解を深めることができるものが望ましいでしょう。



筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。