PR

三輪 信雄 ラック 不正アクセス対策事業本部長

対策技術より脅威の知識が重要

 B社では,セキュリティ・ポリシーを作成するには,対策技術についての知識よりも,外部からの攻撃の手法,社内情報漏えいの動機や手段など,セキュリティの脅威についての知識が必要だと考えた。そのためにまず,「リスク分析」に手を付けた。リスク分析とは,(1)脅威の対象の抽出・分類,(2)脅威の検討・分析,(3)脅威の対策の検討・分析,(4)対策の現状評価,(5)対策の分類・優先順位の検討――などの作業だ。リスク分析が終われば,セキュリティ・ポリシーは記述するだけの作業になる。

図3 B社の新しいセキュリティ・ポリシー
企業が作るほとんどのセキュリティ・ポリシーは,「ポリシーの中のポリシー」と言われる基本方針から始まり,紙ベースの書類を含めた取り扱い方法,ネットワークのセキュリティ対策,さらに違反者への罰則や発見方法,ポリシーが正確に運用されているかを監査する方法まで,幅広く規定している。紙にして数十ページにも及ぶことがほとんどだ。社員に読まれることなく放置され,配布だけで終わってしまうことも考えられる。そうならないためにB社では,部署などの業務内容に合わせて必要なセキュリティ・ポリシーだけをWebページで閲覧可能にし,例外処理も申請できるようにした。
 B社はこのリスク分析だけで6カ月を費やした。自らリスクを分析することは決して悪くはない。しかし,想定できる脅威は,どの企業でもだいたい似通っている。リスク分析の結果も,ほぼ同じ内容になりがちだ。期間を短縮したいなら,コンサルティング会社などが用意したサンプルを活用するのも一つの方法である。

ツールを活用して処理を自動化

 このようにして出来上がったB社のセキュリティ・ポリシーの一部を図3[拡大表示]に示す。セキュリティ・ポリシーは,業務の支障にならないよう吟味した。分量も前回の約10分の1,20ページほどに収まった。

 B社では,ポリシーを社内Webサーバー上で公開した。部署などの業務内容に合わせて,必要な部分だけを閲覧できるよう工夫している。例外処理をWebブラウザから申請,承認する仕組みも作った。こうしたツールを利用すれば,ポリシーを紙で配布する必要はない。だれが読んだか,だれが同意したか,どのような意見があるのかといった情報も自動的に収集できる。

 B社の2回目のセキュリティ・ポリシーはうまく運用されている。ただし,セキュリティ・ポリシーは作ることが重要ではなく,運用することが重要である。B社の取り組みもこれで終わりだと安心はできない。