三輪 信雄 ラック 不正アクセス対策事業本部長
対策技術より脅威の知識が重要
B社では,セキュリティ・ポリシーを作成するには,対策技術についての知識よりも,外部からの攻撃の手法,社内情報漏えいの動機や手段など,セキュリティの脅威についての知識が必要だと考えた。そのためにまず,「リスク分析」に手を付けた。リスク分析とは,(1)脅威の対象の抽出・分類,(2)脅威の検討・分析,(3)脅威の対策の検討・分析,(4)対策の現状評価,(5)対策の分類・優先順位の検討――などの作業だ。リスク分析が終われば,セキュリティ・ポリシーは記述するだけの作業になる。
|
|
図3 B社の新しいセキュリティ・ポリシー 企業が作るほとんどのセキュリティ・ポリシーは,「ポリシーの中のポリシー」と言われる基本方針から始まり,紙ベースの書類を含めた取り扱い方法,ネットワークのセキュリティ対策,さらに違反者への罰則や発見方法,ポリシーが正確に運用されているかを監査する方法まで,幅広く規定している。紙にして数十ページにも及ぶことがほとんどだ。社員に読まれることなく放置され,配布だけで終わってしまうことも考えられる。そうならないためにB社では,部署などの業務内容に合わせて必要なセキュリティ・ポリシーだけをWebページで閲覧可能にし,例外処理も申請できるようにした。 |
ツールを活用して処理を自動化
このようにして出来上がったB社のセキュリティ・ポリシーの一部を図3[拡大表示]に示す。セキュリティ・ポリシーは,業務の支障にならないよう吟味した。分量も前回の約10分の1,20ページほどに収まった。B社では,ポリシーを社内Webサーバー上で公開した。部署などの業務内容に合わせて,必要な部分だけを閲覧できるよう工夫している。例外処理をWebブラウザから申請,承認する仕組みも作った。こうしたツールを利用すれば,ポリシーを紙で配布する必要はない。だれが読んだか,だれが同意したか,どのような意見があるのかといった情報も自動的に収集できる。
B社の2回目のセキュリティ・ポリシーはうまく運用されている。ただし,セキュリティ・ポリシーは作ることが重要ではなく,運用することが重要である。B社の取り組みもこれで終わりだと安心はできない。