bannertrend.gif


沖コンサルティングソリューションズ・シニアマネジメントコンサルタント
芦田元之
セキュリティポリシー入門 第1回
プロフィール
1970(昭和45)年京都大学理学部数学科卒業、同年沖電気工業入社、UNIXワークステーション開発、情報セキュリティ開発に従事。今年4月から現職。主な著書に「戦略情報システムの構築」(三田出版)がある。


インターネットをベースとした近年の情報通信システムの発展は、経済、社会、生活、文化などさまざまな活動の原動力になっているだけでなく、個人の生活や価値のあり方にも大きな変革をもたらし、また、政府が進めている『e―Japan重点計画』では中心的役割を果たしている。このように情報通信システムが、社会の基盤を担っている状況にあっては、その安全性および信頼性の確保、いわゆる「セキュリティ対策」が重要な課題となる。そこでセキュリティ対策の要となる「セキュリティポリシー」について3回にわたり解説する。

コンピュータ犯罪とセキュリティ対策

 図1は、米国コンピュータ犯罪研究所(CSI)とアメリカ連邦捜査局(FBI)の共同調査による、米国でコンピュータ犯罪の被害にあった企業や団体の割合を示したものです。454組織のうち85%の組織が、ウイルスによる何らかの被害を受けました。また、内部関係者による犯行は、「インターネットの乱用」「ラップトップ端末の盗難」「不正アクセス」で、「情報の盗難」の多くも内部による犯罪と考えられます。

tr09_01
spacer
図1 米国の情報セキュリティの現状

 最近、連日のように報道されているコンピュータ犯罪は、実は内部関係者の手によるものが少なくありません。住民基本台帳ネットワークが本格稼働し、さらなるセキュリティの強化が求められているいま、外部からの攻撃だけでなく、内部からの犯罪の脅威にも対策を講じる必要性が高まっているといえるでしょう。
 このようなコンピュータ犯罪を防ぐセキュリティ対策には、「技術的対策」と「管理的対策」があります。技術的対策とは、ファイアウォール、アンチウィルスなどの技術を使用して、コンピュータ犯罪を未然に防いだり被害を最小にするための対策です。一方の管理的対策とは、『情報セキュリティマネージメントシステム(ISMS)』と呼ばれるもので、一定の“ルール”に基づいて情報システムの運用管理を行うことです。
 現在、わが国においても『不正アクセス行為防止法』(平成12年2月)、『個人情報保護基本法大綱』(平成12年10月)、『カード偽造犯罪刑法改正』(平成13年7月)、『プロバイダ責任法』(平成13年1月)、『個人情報保護法』(継続審議)など法規制の対応が進められています。これらの法規制は、犯罪を犯したものを罰するだけでなく、組織の自己管理対策の義務化をも要求しています。職員のセキュリティ犯罪に対する管理責任がこれにあたります。

セキュリティポリシーとは

 さて、「セキュリティポリシー」とは、欧米においてはすでに普及している概念ですが、日本ではまだまだなじみが薄く、最近ようやく政府の推進政策もあって一般にも知られるようになってきました。
 いま、組織の情報資産(コンピュータおよびフロッピーディスクなどの電子媒体に保管されているデータ、これらのデータの印刷物等)には、さまざまなセキュリティ脅威(意図的脅威、偶発的脅威、環境的脅威)があります。「意図的脅威」は外部からのホームページ改ざんや個人情報持ち出しなどの故意によるもので、また「偶発的脅威」とは管理者やオペレータの操作ミス(過失)によるデータ消失、ハードウェアの故障によるデータ破壊などで、さらに「環境的脅威」とは地震や停電などによって情報システムの安全性が脅かされることです。
 セキュリティポリシーとは、保有している情報資産をこれらの脅威から守るために策定される、組織としての“セキュリティ対策の統一方針書”です。
 このセキュリティポリシーは、「基本方針」「対策基準」から構成され、その実現のために「実施手順」が必要となります(図2)

tr09_02
spacer
図2 情報セキュリティポリシーの構成

【基本方針】……組織の情報資産のセキュリティに対する基本的な考え方を明文化したもので、セキュリティ関連文書の頂点に位置します。組織としての情報セキュリティに対する理念、目的、目標を簡潔に表し、組織の経営方針や風土を反映していなければなりません。
【対策基準】……基本方針を実行に移すための具体的な対策で、情報資産を守るために遵守しなければならない共通的なルールを示します。このルールには、コンピュータ室の入退室ルール、情報システムを運用するための一般的なルール、ルールを犯したときの罰則規定などが含まれます。
【実施手順】……情報資産の具体的な運用・管理を実施するための詳細な手順です。たとえば、人事情報や財務システムの運用マニュアルや管理マニュアルがこれにあたります。
 こうしたセキュリティポリシーに基づき、入退室などの物理的管理、適切なアクセス制御、職員に対するセキュリティ教育などを実施し個々の意識を向上させることにより、さまざまなセキュリティ脅威から情報資産を守るのに大きな効果を挙げることができます。
 とはいえ、セキュリティポリシーは策定するだけでは意味がなく、適切に運用することに意味があります。次回はセキュリティポリシーの詳細と策定手順について説明します。



バックナンバーへ戻るspacer新風トップへ