Enterprise Watch
最新ニュース

NEC杉浦氏「問題を抽出するセキュリティ監査には独立性より現状理解」

~C&Cユーザーフォーラム ワークショップ

日本電気株式会社 IT基盤システム開発事業部 セキュリティ技術センター 杉浦 昌氏
 12月3~5日、日本電気株式会社(以下、NEC)の主催により、東京ビッグサイトで「C&Cユーザーフォーラム」が開催されている。4日には、セキュリティマネジメントの最新動向 ~セキュリティポリシー策定からセキュリティ監査制度まで~」のテーマで、NEC IT基盤システム開発事業部 セキュリティ技術センター 杉浦 昌氏によるワークショップが行われた

 まず同氏は、つい最近起きた個人情報漏えいを取り上げた。この事件では18万2780人の情報が漏えいし、各人に1,000円相当のクオカードが送られたが、これを換算すると1億8,300万円になる。近年では個人情報流出での賠償金額の相場は1~1.5万円とのことで、「今後はセキュリティ対策推進の理由に、従来からのワームの対策に加え、個人情報漏えい対策も加わっていくのではないか」と見通しを語った。


セキュリティマネジメントの考え方

 同氏はセキュリティマネジメントの考え方を、ハード/ソフトウェアに関連したシステムセキュリティと、運用体制、ルール、管理方法などを定めるマネジメントセキュリティの2つに分類。後者については、「責任、運用体制、監査のフィードバック、標準化の動向、法制度に加え、社会全体の動きをみてトータルで戦略を決めることが重要」とした。さらに「2つの分類を明確にした上で、バランスよく適用することも重要だが、さらにこれを運用し、見直しを続けることでセキュアなシステムの構築・運用ができる」と語った。

 セキュリティの概念について同氏は、通常は重要視されているネットワーク機器やサーバー、PCなどのハードウェア、プロトコル、トラフィックなどを管理するセキュリティの部分をネットワークシステム層を一番下に、脆弱性のパッチ管理やライセンスの管理を行うなどのアプリケーション層、ネットワークやデータ資源へのアクセスを管理する上位データ層、そして各種の認証やアクセス権限を含む利用者層の4つの階層に分け、「これを内部・外部監査がはさんだ一連の形がそろって組織のセキュリティとなっている」と解説した。そして環境に関するISO 14000のほか、品質に関するISO 9000、セキュリティに関するISO 17799などは、「このすべての層を貫く形の概念」とした。


マネジメントを定義するセキュリティポリシー

 同氏はまず政府官公庁の動きとして、2000年7月に策定された「情報セキュリティポリシーに関するガイドライン」についてITインフラだけでなく「すべての人間もポリシーの対象だと明確に定義されている」としたほか、「セキュリティポリシーが企業でも広がるきっかけとなった」点について評価した。

 政府ガイドラインでもそうだが、セキュリティポリシーは、概要などを定める基本方針、そして対策基準、手順やマニュアルを定める実施手順の3つの階層に分かれる。「実際のコンサルティングの場では、対策基準と実施手順のギャップが大きく、これを埋めるサービスが必要になっていくだろう」と語った。

 ポリシー策定の手続きについても、体制を組織して基本方針の策定、リスク分析と続いていくのが理想だが、「なかなかそうはならない」と述べた。「例えばリスク分析では情報資産を調査して脅威を想定するが、この要求水準が高すぎて基本方針の見直しを迫られる場合が多い」とし「脅威のリスクは発生頻度、発生時の被害を考えるが、そもそも発生頻度がわからないし、冒頭で触れた個人情報流出のようなことが起きれば頻度の問題ではない」と語った。またISMS認証取得ではリスクを数値化して分析するが、「確かにひとつの方法ではあるが、数値化すればすべてが計れるわけではない」と状況に応じた利用が必要だとした。


マネジメントを確認するセキュリティ監査

 続いて同氏は「最近注目を浴びている」セキュリティ監査について、その背景を解説。「説明責任がキーワード」とした同氏は、「血液製剤や狂牛病の問題がクローズアップされたことで、発生時点での背景を加味して、その時点でそれなりの責任を果たしていたかを、政府なら国民に説明する責任がある」とした。そして「企業の場合は、姿勢、あり方を示す顧客へのアピールも必要な社会になってきている」と述べた。

 次に同氏は経済産業省の情報セキュリティ監査基準より、保証型と助言型というセキュリティ監査の定義付けを取り上げ、「当事者でない外部の客観性のある監査により一定の保証を付与するのが保証型、運用状況の問題点を抽出して改善に役立てるのが助言型」と述べた。特に助言型については、「通常の監査からイメージされる“公正さ”よりも、ある程度組織の体制やネットワークを知っていたり、セキュリティ技術を熟知している人間のほうが、より深いチェックができる可能性がある」と述べた。

 こうした監査への考え方はあまり広まっておらず、ISO19011でも本人が監査を行う第1者監査、利害関係者による第2者監査、監査機関による第3者監査しか定義されていない。しかし、「実践的なセキュリティ効果を考えると第2者は第1者と重なる部分が多く、第3者監査は保証に寄り過ぎている。利害関係者を含む監査チームによる、いわば第2.5者による監査に効果があるのではないだろうか」と考えを述べた。


各種監査制度・サービスの位置づけ(Copyright NEC)
 監査制度にはISMS適合性評価制度と情報セキュリティ監査制度がある。この違いについて同氏は、「ISMSは、ISO17799に準用しており国際規格との整合性もとれている。2002年より本運用が始まったが、短期間でこれほど成長した例は世界にもなく、現在注目を浴びている制度」としたが、「あくまで評価であり、あえていえば保証型になる」と語った。一方の情報セキュリティ監査制度は、「10月16日に発足したNPOの日本セキュリティ監査協会(JASA)が中心となって現在策定中のもの」とし、「監査の技術や主体の質の向上を目標に、民間が集まって制度作りを進めている」とのこと。「保証型と助言型を含み、業種業態により内容を変更できるものになる」と語った。

 最後に同氏は、前半で触れたシステムとマネジメントのセキュリティに主観と客観を加えた座標により、監査を含むマネジメントセキュリティのサービスを位置づけ、ポリシーの基本方針策定などを行うセキュリティ戦略策定コンサルティング、実施手順や運用に関するセキュリティ対策コンサルティング、脆弱性・セキュリティホール監査サービス、セキュリティ運用監査サービスなどを主観の側から順に示し、「システムセキュリティにおける評価・認証制度としては、ISO15408に基づく「情報セキュリティ評価基準」が最も近いといえるが、システム全般にわたる公的、総合的なものは今のところない」と現状の問題点を述べた。



URL
  C&Cユーザーフォーラム&iEXPO2003
  http://www.uf-iexpo.com/
  日本電気株式会社
  http://www.nec.co.jp/


( 岩崎 宰守 )
2003/12/05 17:44

Enterprise Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.