Enterprise Watch
最新ニュース

IBM BCS大木氏「情報セキュリティは、結果ではなく合理的な対策が重要」

~IBM FORUM 2004 講演

 2月25日から27日まで開催されている「IBM FORUM 2004」(主催:日本アイ・ビー・エム株式会社)において2月26日、アイ・ビー・エム ビジネスコンサルティング サービス株式会社 ディスティングイッシュト・エンジニア パートナー チーフセキュリティオフィサー 大木 栄二郎氏による「今、着手すべき情報セキュリティとプライバシー対策」と題した講演が行われた。


情報セキュリティはIT部門の最優先課題

アイ・ビー・エム ビジネスコンサルティング サービス株式会社 ディスティングイッシュト・エンジニア パートナー チーフセキュリティオフィサー 大木 栄二郎氏
 同氏はまず、「オンデマンドビジネスの4つの特徴である即応性、柔軟性、集中化、回復力のうち、情報セキュリティとプライバシーは回復力の典型的な課題」と述べた。これは「情報価値の相対的な高まり、ITへの依存度の進行なども理由だが、1番大きいのは、ほかの先進国並みに脅威が増大していること」とした。他の理由として「ビジネスチャンスを生むと同時にセキュリティ面では危機でもある企業の変化、個人情報保護法案をはじめとした法整備に伴う社会からの厳しい目」を挙げた。

 次にアメリカで企業のIT部門に対して行われた調査では、「2004年はITセキュリティへの取り組みが最重要課題とされている」とその結果を示した。これに続くのはディザスタリカバリとなっている。ほかの米国企業1000社のITマネージャーを対象にした調査では、「40%が最重点投資のトップにセキュリティを挙げた」とし、「日本の類似調査でも同様の傾向が出ており、セキュリティはIT部門にとって2004年に一番のプライオリティになる」と語った。

 国内の法整備については、「2005年4月には個人情報保護法が施行される。これは企業に個人情報の適正な取り扱いの義務を課すもので、具体的に対策しなければならない項目だろう」と述べた。また「注目されてないが、同時期に成立した不正競争防止法の改正では、企業の競争力に影響ある情報に対して、合理的なセキュリティ対策がなされていることが前提となっている」と語った。


「100%安全かどうか」は成熟した議論ではない

自己前提社会では結果より対策のプロセスが重要になる
 同氏は、現在の国内のセキュリティを取り巻く状況について「転換期」と表現、「今までの論調は未成熟」とし、いくつかの問題点を挙げた。まず「セキュリティコンサルタントとして、企業トップと話すと、「うちの会社は性善説」との言葉がひとこと目に出てくる」と述べ、「企業組織の運営では、有効で貴重な考えでもある。しかし深刻な情報漏えい問題の7割は内部流出であることを考えても、こと情報セキュリティの施策ではこれに依存しないことが重要」と語った。

 また住基ネットの侵入調査の際に見られた「100%安全かどうか」という報道や論調について、「成熟した議論とは言えない」と述べ、「これまでの自治体での情報の取り扱いのリスクと比べた場合に、住基ネットはどういうレベルにあり、どうすれば認められるのか、という方向に移行すべきだ」と語った。

 そしてこうした論調の一方、国内企業には「自分の外に厳しく、身内や足元に無頓着な弱い危機意識がある」とし、「セキュリティの穴を突かれたときにどういう事態になるのか、その認識が足りない」と述べた。そして「対策の進んでいる企業と遅れている企業に二極化しており、手痛い事件や事故の経験から学んでいる企業は進んでいることが多い」とした。

 現在、国内では新たな段階へ議論を発展させるような動きも現れはじめている。経済産業省では情報セキュリティ総合戦略が策定された。同氏によれば「かつて世界でもまれな安全社会だった強みを生かして「しなやかな事故前提社会の構築」が、ここでうたわれている」という。これは「100%安全かどうかという原理的な考え方でなく、予防はもちろんだが、何か起こっても回復でき、影響を極小にとどめる。その回復手順などが中身になる」と語った。

 これまでは「結果として悪いことを起こさないのがいままでの対策だった」とし、「100%でなければやっても意味がないとの考え方が根強くあるため、具体的対策が進まなかった」とした同氏は、「影響を最小限にとどめられる、やるべきことがやっていたことを証明できる、こうした合理的な対策をするのがきわめて重要だ」と語り、これからの事故前提社会では「悪い結果を出さなければプロセスを問われない社会から、合理的で妥当なプロセスが機能していれば免責されるよう変化していく」とした。


情報セキュリティマネジメントの考え方

リスクとセキュリティのマネジメントは、その対象と具体性に大きな違いがある
 同氏はリスクについて「企業自身でコントロールできない不確実なものの結果に備えること」と定義し、「その間口は広く、不測の事態でも企業が存続できるよう、主に財政的な対応をするのが本質になるだろう」との考えを示した。一方セキュリティについては「安全の概念で捕らえられる範囲に限定される」とし、「具体的な保護策の有効性を保証することが重要になる」と述べた。その具体策として同氏は、「情報資産に影響を与える脅威が突く部分の対策に焦点を絞るべき」とし、「人間系も含めた規則の体系について、あるべき役割のもれに目を向けるのが本質」とした。

 国際的にもセキュリティマネジメントの標準化、基準作りが進んでいる。同氏は1992年から開始されたOECDを取り上げた。ここでは9つの原則が挙げられており、このうち3つが2002年に改定されている。同氏によれば、「均衡の原則がリスク評価の原則に、統合の原則がセキュリティデザインと実装の原則に、多面的統制の原則がセキュリティマネジメントの原則に置き換えられ、企業が現在やるべきことがきっちりと明確化されている」とのこと。

 またISMS適合性評価制度では、「認証を受ける企業650のうち日本企業が320を占めるなど、今後の社会でこうした考え方が、国内でも合理的対策の目安として受け入れられていく」との考え方を示した。


アクセス制御を例にしたセキュリティマネジメントの実際

企業システムのアクセス制御ひとつとっても、多くの問題点がある
 同氏はセキュリティマネジメントの運用について、「企業内で実際にどう機能しているかが合理的対策の中心テーマだろう」と述べた。そして「企業で広く行われているアクセス制御の場合、その方針や考え方をはっきり定義しないと、ユーザーの申請を受けて承認をする根拠やユーザーが負うべき責任が不明確になる」とした。これは「被害を受けて追求されるときに一番の起源になるもの」と同氏は語った。

 そして「現在多くの企業では、職位階層による考え方でアクセスコントロールを行われている。本来は職務に応じた業務の必然性に立った考え方の仕組みが欲しい」と語った。また「結果がログに記録されるにしても、何かあったとき原因究明に役に立つ形で、検証方法からさかのぼって必要な項目や保管期間を検討すべき」とした。


設定した考え方の枠組みに沿って運用を

セキュリティマネジメントは、国際標準や技術、経営方針といった要件を取り入れてデザインする必要がある
 「セキュリティマネジメントでは、国際標準や対策の合理性といった要件を満たせばよいと短絡的にとらえがちだが、本来は経営方針や戦略を支えるものでなければならない」とした同氏は、「モデルやフレームワーク、方法論、技術、こうしたものを参照しながら、自社に適したものとしてアーキテクチャをデザインし、運用するのがIT部門の課題だろう」と述べた。

 そしてこれを具体化する際の注意として、「実際には製品を市場調達し、組み合わせて使うのが実態だろう。セキュリティ製品は規模の小さい企業が多い世界なため、アーキテクチャをベースにした視点から、製品の選択や実装に発展させて考えて欲しい」と語った。



URL
  日本アイ・ビー・エム株式会社
  http://www.ibm.com/jp/
  IBM FORUM 2004
  http://www-6.ibm.com/jp/event/forum2004/
  アイ・ビー・エム ビジネスコンサルティング サービス株式会社
  http://www-6.ibm.com/jp/services/businessconsulting/


( 岩崎 宰守 )
2004/02/27 00:00

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.