情報セキュリティガバナンス導入ガイダンス 経済産業省 2009.6
情報セキュリティ対策は、今なお多くの企業において「(企業の利益に直結しない)コスト」
の位置づけであり、対策の重要性が十分に理解されていない。
しかし、ITによる統制で企業活動の効率化を図っている企業がほとんどな中、経営者は情報セキュリティ対策こそ
正面から対峙しなければならない経営課題であることを改めて認識する必要がある。
また顧客が企業に対し適法性のみならず適正性を期待していることを鑑みると、
経営陣においては自らの経営課題の一つとして、情報資産に関わる機密性、完全性、可用性の観点を取り入れて、
リスク管理を捉え直すことが必要である。
すなわち、様々なリスクのうち情報資産に関わるリスク管理を狙いとして、情報セキュリティへの意識、
取組及びそれらに基づく業務活動を組織内に徹底させるための仕組みを構築・運用する、
すなわち情報セキュリティガバナンスの確立に取り組むべきである。
情報セキュリティガバナンスとは
「情報セキュリティガバナンスの定義」
経営者が方針を決定し、組織内の状況をモニタリングする仕組み及び利害関係者に対する開示と
利害関係者による評価の仕組みを構築・運営することである。
「情報セキュリティのフレームワーク」
上の図の、特に「方向付け→情報セキュリティ管理→モニタリング→評価」のサイクルは監査の要点となる部分である。 その中でも、IT系の技術が要求されるモニタリングについて、以下で解説していく。
モニタリングについて
「モニタリングとは」
リスク管理の実践がどのような状況にあるのかを把握できるようにしたものである。
監査の要点となるサイクルの中で、「方向付け」、「評価」は人為的な作業であるのに対し
「モニタリング(以後は情報セキュリティも含める)」は人の手で行うことが不可能である。
ITによる統制を行っている企業がほとんどである中、情報を集めるだけでは、監査の意味をなさない。
故に、このガイダンスでもモニタリングという言葉が使われているのである。
「モニタリングの要点」
より正しい評価、方向付けが可能なモニタリングにするために、私たちがしなければならないことは下記の二つである。
1)集められた情報が、正確であり、信頼できるものであることを保障すること。
2)集められた情報を加工し、経営陣が把握可能な状態に(可視化)すること。
「モニタリング指標の決定”SMART”」
モニタリングから得られた測定情報をより評価しやすい情報へと加工するためには、明確な指標を定めることが必要となる。
当ガイダンスには、「SMART」という、モニタリングの指標を決定する際の指針ともいうべきものが記載されていたので紹介する。
望まれるモニタリング指標「SMART」
Specific
測定者が測定するときに主観や判断が入らないように、あいまいな言葉を使わずに明確にモニタリング指標が定義されていること。
Measurable
本質的に数値化できるモニタリング指標であること。
Attainable
予算や技術的な制約の中で断続的に取得可能なモニタリング指標であること。
Repeatable
測定者や測定時期、測定場所などが異なっても、同じ対象を測定すれば同じモニタリング指標の値が得られること。
Time Depend
固定した値ではなく、時間とともに変化するモニタリング指標であること。
会社法が求める、情報セキュリティ対策の対象
モニタリングを行うにも、そもそも何についての情報を取得するのかの指針がなければ、企業にとって有用なデータには ならない。ここでは、会社法が何を対象に情報セキュリティ対策をとるべきなのかを示す。
「情報セキュリティ対策で考慮すべき3つの対象」
情報セキュリティとは機密性、完全性、可用性を維持することであり、
システム障害による利用不能や情報の不正改ざん、情報漏えい等を防止するために重要な機能を担うものである。
機密性(Confidentiality)
アクセス権を許可された者だけが情報にアクセスできることを確実にすることである。
例を挙げると、IDやパスワードによるDB(データベース)へのアクセス管理などで不必要に誰でも情報を引き出すことが
できないようにすることが挙げられる。この機密性が維持できない場合、情報の不正な外部漏洩などにつながる恐れがある。
完全性(Integrity)
情報及び処理方法が完全かつ確実であることを保障することである。
例えば、本来一つのDBに入っているべき情報が、それぞれ別のDBに入っている場合。
また、その実態を誰も把握できない状態にあること等が挙げられる。
他に、IDによる機密性の維持を計るとしても、ID自体を変更できる環境であれば、その意味をなさない。
これも、完全性に関わるものである。この完全性の維持が不適切であると、
情報の不正改ざんや情報処理結果の誤りを引き起こす。
可用性(Availability)
可用性とは、許可された利用者が必要な際に情報及び関連資産にアクセスできることを確実にすることである。
例えば、災害時のバックアップやウイルスなどの不正なプログラムによるアクセス障害などが挙げられる。
この可用性が維持できなくなるとシステム障害による利用不能に陥る可能性がある。
以上の3つが、情報セキュリティの対象となるものの大本である。
これらがもつリスクと費用とを勘定し、企業ごとに、どのようなセキュリティポリシー(企業特有のセキュリティ法)
を持って対策を行うかが、今日早急に求められている。
情報セキュリティのために何をするか
「機密性・完全性・可用性を維持するために」
3つの対象を維持するためには、どのような行動を起こせば良いのだろうか。
例えば、機密性、完全性を極限まで上げるとする(具体的にはDBに何重ものセキュリティを張る。
アクセスできる人数を極力減らしたりなどがあるだろう)。
すると、そのためにかかる費用は莫大なものになり、可用性という観点からみるとマイナスとなってしまう。
しかし、何も対策を講じなければ、今まで散々述べてきたように、情報漏えいやプログラムの改ざんなど、
企業の存続に影響しかねる事態を引き起こしかねない。
以下は、機密性・完全性・可用性に対して、どのように対応するのが望ましいのかを提言したものである。
機密性の保持
IDやパスワードを配布し、アクセスできる人間を制限するだけでは不十分であるといえる。
例えば、同様のIDを用いていたとしても、使用しているパソコンが違えば、
本来IDを割り振られているはずのない人間が、アクセスしている可能性も出てくる。
これでは機密性を維持していると言うことはできない。
これらの問題を解決するためには、アクセス履歴を把握、記録しておくことが必要となる。
完全性の保持
完全性のレベルの高さを誇っても、知識のあるエンジニアが内部からUNIX系のサーバーを使えば、
内容を変更される可能性は高い。それに対し、逐一対応するのは非常に困難であり、
その際にかかる費用と時間を考えると賢い経営判断とはいえない。
そのような不正な改ざんなどに対応するためには、プログラムの登録・変更の履歴を
監査する必要がある。また、UNIX系の操作もすべて取得していることが望ましい。
可用性の保持
可用性の維持のためには、以上の機密性、完全性を保障し、なおかつそれらの管理がサーバーやデータベースなどに
負担のかからないものにしなければならない。そのためにも、単純にセキュリティを増やし、拘束していくのではなく、
アクセス内容をもれなく監査し、迅速にレポーティングする仕組みが必要である。
そして、問題が発生したときは、柔軟に対応できるような内部統制の仕組みを確立させなければならない。
WEEDS Trace Series導入の薦め
これまで紹介した「モニタリング」と「情報セキュリティ」の対策は、当社の製品である
WEEDS Trace Seriesを導入することで、全て対応することが可能である。
以下は、情報セキュリティの監査対象ごとに、弊社のどの製品が対応するのかを述べたものである。
・機密性の保持
アクセス履歴を把握、記録
→WEEDS DB-Traceで、個人情報のアクセスを全て取得、保持し、情報漏えいの根本的な対策を確立。
・完全性の保持
プログラム登録・変更の履歴を監査
→WEEDS ITGC-Traceで、アプリケーションモジュールの様々な変更の一元管理を行う。
UNIX系の操作を取得
→WEEDS UNIX-Traceで、入力したコマンド、パラメータはもちろんのこと、そのコマンドの実行結果も全て
取得することが可能。
→WEEDS Windows-SecureControlで、ユーザ操作の全てが取得可能。
・可用性の保持
アクセス内容をもれなく監査し、迅速にレポーティングする仕組み
→WEEDS Trace Seriesで、以上の要点を監査し、リアルタイムでレポーティングすることが可能。
また、柔軟なカスタマイズもできるので、より会社のニーズに合わせたモニタリングを行うことができる。
WEEDS Trace Seriesを導入することにより、情報セキュリティガバナンスに求められる課題に対し
万全な対策を実施することができる。しかも、安価で迅速に導入することができる
のも、弊社製品の強みである。
情報セキュリティを、確実に、かつ負担とならないようにするためにも、WEEDS Trace Seriesの導入を薦めたいと思う。
終わりに
経済産業省から、このように情報セキュリティガバナンス導入へのアプローチが始まったことは、
それだけ情報セキュリティへの意識が高まり、企業にとって回避することのできない問題となってきたことを表している。
本書によって、一つでも多くの企業が情報セキュリティガバナンスを導入することの必要性を感じ、
実際に踏み切っていただければ幸いである。
重ねて申し上げるが、WEEDS Trace Seriesを導入することで、より健全な経営を行っていただくことを強く願う。
.jpg)
.jpg)