PR

監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・大溝裕則(ジェイエムシー 情報セキュリティ統括役員〔CISO〕)

 情報資産の重要度を評価する時には、CIA(情報資産のCIA:「機密性 Confidentiality 」「保全性(完全性) Integrity」「可用性 Availability」)の価値基準を使用することは「第3回詳細リスク分析の初歩~情報資産をどう評価するのか~」で触れました。来年度(2005年度)の個人情報保護法の本格運用を控えて、CIAのうちのC(機密性)がクローズアップされていますが、事業継続という視点で見ると、A(可用性)が重要になります。

 事業継続管理というと、地方公共団体にフィットしない印象を持つ方もいるかもしれませんが、事業継続を阻害する要素は多分にあります。昨今、個人情報流出事件が多発し、例えば電話のようにいつも使えるのが当たり前になっているものが使えなくなることは、重大な影響を及ぼします。大規模なものを想定すると地震・台風の可能性も考えられます。もっとも、これらの広域災害における災害復旧に関しては、情報セキュリティを確保する以前に職員の安否確認や住民の安全確保など、人命救助のためにやるべきことが多くあり、事業継続計画というより防災マニュアルでまとめた方がよいでしょう。

■事故の可能性が高く、影響の大きいリスクから

 「情報セキュリティ管理基準」(経済産業省)の9.1.2には、「事業継続のための活動は、業務手続の中断を引き起こし得る事象を特定することから始めること」とあります。事故が起きうる可能性が高く、事故が起きた場合の影響が大きいリスクから対応策を考えるために、リスクアセスメントの必要があります。

 この影響度の大きさを測る尺度としては、システムの停止時間があります。どの程度、システムが停止していても許容できるかを基にレベルを決めていくという方法です。例えば下記のようなが考えられます。

■表1 リモートからの検証
レベル 許容停止時間
4 停止できない
3 2時間以内
2 1日以内
1 停止は影響ない

 停止許容時間は、利用者側から見た時間であり、管理者側から見ると復旧時間ということになります。この復旧時間については、「情報セキュリティ管理基準」の9.1.4に、「重要な業務手続の中断又は障害の後、事業運営を維持又は要求される時間内に復旧させるための計画を立てること」とあります。

■起こりうるシナリオを想定したプラン作成

 事業継続のための計画を策定する場合には、具体的なシナリオを想定した方が、実効性の高いプランが作成できます。例えば、数年前であればコンピュータウィルスは、ファイル感染型が主だったので「コンピュータウィルスに感染した場合」というシナリオに対して「他の使用者にメールや電子掲示板で注意をうながす」というプランで大丈夫でした。しかし、現在では「コンピュータウィルスの影響によりネットワークが停止した場合」という影響を拡大したシナリオに修正して、館内放送で通知するなどのネットワークに依存しない方法で注意をうながさないと、有効とは言えません。

 またシナリオを作成する時には、事故が起きる時間も重要です。例えばホームページの改ざんされたというシナリオの場合には、いつ起こるかわかりません。夜間や休日も想定して、ホームページに対する監視体制や、管理者への連絡方法などもプランに盛り込む必要があります。

■プランの有効性の確認

 「情報セキュリティ管理基準」の9.1.6には、「事業継続計画が最新の情報を取り入れた効果的なものであることを確実にするために、定期的に試験をすること」とあります。つまり、机上だけでプランを練るだけではなく、予行訓練を実施して策定したプランが有効であるかをチェックするということです。

 予行訓練の比較的簡単な例としては、休日に、緊急連絡網として作成したリストが機能するかどうかを検証してみるという方法があります。連絡網も、何が使用できなくなるか予測しづらいので、一般電話・携帯電話・インターネット(Web、メール)など複数のチャネルを、想定した方がよいでしょう。

 システムの停止を想定した場合は、代替手段として手書き書類とFAXを組み合わせた方法の予行演習や、地方公共団体が運営する病院などでは普及率の高い自家発電設備の点検なども有効性の確認と言えます。

 事業継続管理を策定する場合の、策定根拠になるのがリスクアセスメントです。今回は、コンピュータウィルスの例を書きましたが、同じリスクであっても影響する範囲が変化していきます。事業を継続するための管理策は、一度策定して終わりにするのではなく、定期的に見直すことが重要になります。


◆サブコントロール解説コーナー◆

9 事業継続管理

9.1 事業継続管理の種々の面
目的:事業活動の中断に対処するとともに、重大な障害又は災害の影響から重要な業務手続を保護するため

9.1.1 組織全体を通じて事業継続のための活動を展開し、かつ、維持するための管理された手続が整っていること

9.1.1.3 事業継続の手続の一部をなすこともある適切な保険への加入を考慮すること

【解説】

 リスクアセスメントで、出てきたリスクを保険によって担保するという考え方もあります。地震や火災などに対応した損害保険は以前からあり、最近ではIT事業者向けの保険や個人情報漏えいに対応した保険も出てきています。

このサブコントロールは、事故を未然に防ぐための対策は過剰にならない範囲で実施し、それでも残ったリスクを保険に加入し保険会社にリスクを移転する、としています。

情報資産に対して保険に加入するという考え方が定着すると、イメージの低下や、風評などの被害については、適切な管理策を策定・運用し、経済的な被害は保険でカバーするという棲み分けになっていくかもしれません。


筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。