「情報セキュリティに対する富士通からのご提案」 〜情報セキュリティマネジメントの考え方とセキュリティソリューション〜 |
はじめに情報ネットワークはここ十年ほどで飛躍的な発展を遂げ、ネットワークのブロードバンド化、無線LANなどの新技術の普及は私たちに大きな利便性をもたらしました。しかしその一方で、不正アクセス、情報漏洩といったセキュリティリスクと出会う可能性も生まれています。このような現代の情報ネットワークを安全に活用するためには、新しい時代のネットワークの特性に合わせたリスク対応の方法を身につけ、実践する必要があります。 1.情報セキュリティマネジメントについて情報セキュリティマネジメントとは、「統一的な方針のもとに組織のセキュリティ体制を維持・管理していくこと」です。一般に、情報セキュリティのマネジメントは、投資を行い、効果が出れば出るほどその効果を実感することが難しくなります。そのため、マネジメントの効果を正しく評価するためには、マネジメントを適切な方針に沿って計画的かつ体系的に進めていくことが大切になります。 2.富士通規準セキュリティポリシーと富士通のセキュリティソリューション
前節で説明した情報セキュリティマネジメントの仕組みと、それに基づく情報セキュリティ対策を実現するためには、全社的方針に基づく総合的な取り組みが必要です。 3.インフラレイヤ昨今、組織からの顧客情報の流出事件が相次ぎ、大きな社会問題となっています。以下は国内において初めて情報漏洩に対し、その被害金額を明示した事例です。 <概略> A市は、システムの開発を外部の企業に委託。組織内での作業は17時までと時間的に制約が大きかった為に、市は重要機密である住基台帳などの元データ(約21万件)の持ち帰りを許可したが、下請けの作業員が、データをコピーしたMOを名簿業者に販売。これがインターネット販売されたことで事件が発覚した。 同市民は「精神的苦痛を受けた」として訴えを起こし、地裁は原告の訴えを全面的に認め1人当たり1万5000円の支払いを命じた。 このような情報漏洩事件の多くはずさんな管理体制が招いたものであり、いま組織における情報漏洩対策の抜本的な見直しが求められています。加えて2005年4月1日には個人情報保護法の施行も控えており、法的な面からも情報漏洩への対策は必須かつ急務となっています。しかし、単に情報漏洩といってもその流出経路には、内部犯罪、ネットワークの盗聴、機器の盗難など多くのパターンがあり、それら全てに適切な対策を行わなければ効果はありません。 3-1. 情報漏洩対策の戦略情報漏洩対策の運用は「性善説」と「性悪説」 、どちらか一方だけに基づいた運用では上手く進めていく事はできません。従って「性善説」に従いつつも、「性悪説」も考慮し、リスクが大きく、かつ対策のパフォーマンスが高いところから順に対策を進めて、内部犯罪のリスクを少しずつ低減させていく方法がもっとも現実的な対策です。 3-2. 情報漏洩対策ステップ次に対策の進め方について説明いたします。まず初めに情報漏洩の被害が発生する頻度と、発生した場合の被害の大きさ、及び、その対策に必要なコスト/期間を洗い出します。次に、その中で被害/頻度が大きく対策のコストが小さいものに対して対策を行います(ステップ1:基盤整備)。 3-3. 情報漏洩対策のカテゴリと各カテゴリ別の対策方法どこに対策を施すかについては、逆にどこから情報漏洩が起こるのかを考えるということになります。以下では情報漏洩が起こる箇所(漏洩リスク)を「情報漏洩防止基盤の不備」、「内部犯罪」、「インターネット悪用」、「ネットワーク盗聴」、「機器盗難」の5つにカテゴリに大別し、各々のカテゴリにおける課題とその対策方法をご紹介していきます。
4.組織規定レイヤ前述したインフラレイヤにおける情報漏洩対策を行ったとしても、情報資産の利用者全てのセキュリティ意識が高くなければ何の効果も発揮することができません。とくに内部の人間による情報漏洩は社員一人一人にセキュリティに対する意識を根付かせなければ、根本的に解決することが出来ない問題です。組織規定レイヤはこのような組織的なセキュリティの維持・管理基盤のソリューション群であり、以下の3つから成り立っています。 これらのソリューションは、組織としての情報セキュリティの取り組みに大切とされる5つのポイントを満たすように提供されています。以降よりその5つのポイントについてご紹介していきます。 ■情報セキュリティ推進組織情報セキュリティポリシーを策定、定着させ、セキュリティ対策を実施/推進するためには、組織全体をカバーする情報セキュリティ推進組織が必要になります。そのため組織横断的な「情報セキュリティ委員会」を設置するのが一般的となっています。 ■セキュリティポリシー全セキュリティ事故に対し、企業の内部犯罪の占める割合が約8割と言われる昨今、セキュリティポリシーによる網羅的かつバランスのとれたセキュリティ対策の推進はますますその重要度を増しています。一般にセキュリティポリシーは、情報セキュリティ基本規定と情報セキュリティ対策基準の2部構成になります。 実際に各部門にこれらの内容を実施させていくためには、人的・物理的・技術的セキュリティ対策実施の際に準備すべき実施手順書、マニュアル、設計書等が必要になります。 ■情報セキュリティ教育全従業員のセキュリティ意識を向上させ、セキュリティポリシーを定着させていくためには十分な教育を行うことが必要です。この教育は全従業員に対して同一の内容を実施するよりも、職能(部門毎)や階層(管理職、情報化推進担当、一般職)に特化した教育へ展開していくことにより、より高い効果が期待できます。 ■情報セキュリティ監査情報セキュリティ対策には完全というものがありませんので、情報セキュリティポリシーの構築後も継続的な活動を通してセキュリティを向上させ続ける必要があります。この継続的な情報セキュリティ対策への取り組みにおいて必要となるのが情報セキュリティ監査 です。監査には内部監査と外部監査がありますが、自らでは気づきにくい情報セキュリティの欠陥を発見するためにも、外部の情報セキュリティ監査を検討されることをお奨めします。 ■情報セキュリティ認証近年、国内において、情報セキュリティに関する認証制度の整備が大きく進んでおり、今後は「ISMS適合性評価制度」、「ISO/IEC 15408 (JIS X 5070)」等の制度を活用して各組織が情報セキュリティに取り組む段階にきています。 組織規定レイヤの対策はインフラレイヤの対策に比べると遅れがちですが、内部の人間の犯行による情報漏洩被害は外部犯行に比べてきわめて深刻です。そのような犯行を未然に防ぐためにも、また第二、第三の犯行を生み出さないためにも、ここで説明した5つのポイントに基づいて対策を行い、社内にセキュリティに対する意識を根付かせることが大切です。
5.アプリケーションレイヤお客様の業務システムのセキュリティ対策など、個別アプリケーションのレベルでお客様のセキュリティ要件に答えるのがアプリケーションレイヤです。アプリケーションレイヤは以下のソリューションから成り立っています。 ■電子認証基盤電子申請/電子商取引などに不可欠な電子認証の運用を生体認証や電子証明書サービスをはじめとする各種製品/サービスの提供により支援します。 ■電子文書保証電子文書に関する保管や事後証明のサービスを提供します。 ■アプリケーションセキュリティ設計構築支援セキュリティホールを持たない堅牢なアプリケーション設計・構築を支援します。
●おわりに情報セキュリティは、ITの重要課題として社会全体に与える影響がますます大きくなっています。その一例として、2003年10月に経済産業省は、官民が協調しながら総合的な戦略の下で対策を講じるための政策として、「情報セキュリティ総合戦略」を発表しました。この戦略では、施策内容の提示にとどまらず、各分野における具体的な実施目標と実施時期を含んだアクションプランも提示されており、今後、情報セキュリティ対策がますます求められるようになることが予想されます。 <参考URL>「富士通の考えるセキュリティ対策とは」第1回 情報セキュリティマネジメントと対策/family/familyroom/syuppan/family/webs/w009/secure/index.html 第2回 インフラレイヤ 情報漏洩対策のあり方とは/family/familyroom/syuppan/family/webs/w010/secure/index.html 第3回 技術的なセキュリティ対策に加えて(組織規定対策)/family/familyroom/syuppan/family/webs/w011/secure/index.html ■用語説明情報リスクマネジメント情報セキュリティマネジメントの最も中核をなす要素で、「セキュリティ方針立案」−「対策実施」−「セキュリティ監査」−「改善」の サイクルに沿って組織のセキュリティ対策を実施する取り組みです。情報資産の洗い出しやセキュリティリスクの分析など、事前に行うマネジメント整備作業には専門的知識が必要となる場合があります。その場合はコンサルタントなど外部のリソースを活用することでスムーズに整備作業を進めることができます。 準拠性マネジメントマネジメントの内容を各種の国際標準や業界の標準に準拠させる取り組みです。情報セキュリティ関連の標準は「セキュリティ機能」に関するものと「セキュリティ運用」に関するものに大別され、前者の例として「ISO/IEC 15408(JIS X 5070)」、後者の例としては「ISO/IEC 17799 (JIS X 5080)」があります。 パフォーマンスマネジメント計画もしくは実施しているセキュリティ対策がリスクに見合っているかを評価し、最小の投資で最大の効果を発揮させるための取り組みです。適切に評価するためには「組織の資産価値」と「セキュリティリスクの種類と大きさ」を正しく把握することが必要になりますので、信頼できる外部機関や評価機関に評価を依頼するのも有効です。 富士通規準セキュリティポリシー富士通規準セキュリティポリシー体系は、富士通のセキュリティソリューションを開発する際にその基礎として策定した体系的なセキュリティポリシーです。
3つのレイヤと11のソリューション3つのレイヤはそれぞれ「組織的なセキュリティの維持・管理の基盤」、「組織外部・内部からの情報資産侵害を防ぐ基盤」、「取引や情報流通を安全に行うための基盤」として位置付けられており、11のソリューションはお客様の代表的なセキュリティニーズのキーワードごとに、その解決に必要な製品・サービスと運用ノウハウがパッケージ化されたものです。 インフラレイヤインフラレイヤは不正アクセスやウイルスなどの脅威からITを通して組織の情報資産を守るためのソリューション群であり、以下の5つから成り立っています。 「性善説」と「性悪説」システムの運用には「性善説」に基づくものと「性悪説」に基づくものがあります。「性善説」に基づいた運用とは、内部の人間を信用して、重要な情報に対するアクセス制限等の対策を行わない運用をいいます。また、「性悪説」に基づいた運用とは、内部の人間を信用せず、情報へのアクセス制御や、犯人特定のための追跡記録、外部からの侵入防止などの対策を行う運用をいいます。では多大なコストをかけて「性悪説」に基づいた運用を行えば情報漏洩を完全に防げるのでしょうか。実際はそうではありません。情報へアクセスできる正当な権限をもったものが悪意ある行動を取った場合、それを防ぐことはできないのです。つまり、利用者の悪意の存在を前提とすると、一般的なアクセス制御技術では情報漏洩を防ぐことはできないということになります。 情報セキュリティ基本規定経企業の情報セキュリティに対する取り組み方針や、経営者の声明を記述したものです。 情報セキュリティ対策基準全社で共通的に実施すべきセキュリティ対策を網羅し、記述したものです。 情報セキュリティ監査経済産業省では2003年4月1日より「情報セキュリティ監査制度」の運用を開始しており、その必要性はますます高まっていると言えます。 ISMS適合性評価制度国際的に整合性のとれた情報システムのセキュリティ管理に対する第三者適合性評価制度です。認証を受けるメリットとしては以下の点があげられます。 |
ページのトップへ▲ |