はじめに

情報ネットワークはここ十年ほどで飛躍的な発展を遂げ、ネットワークのブロードバンド化、無線LANなどの新技術の普及は私たちに大きな利便性をもたらしました。しかしその一方で、不正アクセス、情報漏洩といったセキュリティリスクと出会う可能性も生まれています。このような現代の情報ネットワークを安全に活用するためには、新しい時代のネットワークの特性に合わせたリスク対応の方法を身につけ、実践する必要があります。
今回は現代の情報ネットワークにおける情報セキュリティマネジメントの考え方と、それを実現する富士通のセキュリティソリューションについてご紹介させて頂きます。

1.情報セキュリティマネジメントについて

情報セキュリティマネジメントとは、「統一的な方針のもとに組織のセキュリティ体制を維持・管理していくこと」です。一般に、情報セキュリティのマネジメントは、投資を行い、効果が出れば出るほどその効果を実感することが難しくなります。そのため、マネジメントの効果を正しく評価するためには、マネジメントを適切な方針に沿って計画的かつ体系的に進めていくことが大切になります。
情報処理推進機構セキュリティセンター（IPA/ISEC）は、情報セキュリティマネジメントの要素として「情報リスクマネジメント 」「準拠性マネジメント 」「パフォーマンスマネジメント」の３つを挙げています。
これらの要素に基づいて、情報セキュリティマネジメントを計画的かつ体系的に進めることで、組織の情報セキュリティを確保できると考えてよいでしょう。

2.富士通規準セキュリティポリシーと富士通のセキュリティソリューション

富士通のセキュリティソリューション

前節で説明した情報セキュリティマネジメントの仕組みと、それに基づく情報セキュリティ対策を実現するためには、全社的方針に基づく総合的な取り組みが必要です。
その実現のために富士通では独自の規準セキュリティポリシー に基づき、総合的な情報セキュリティ対策を「組織規定レイヤ」「インフラレイヤ」「アプリケーションレイヤ」の3つのレイヤと11のソリューションに体系化しました。
これら規準セキュリティポリシーとセキュリティソリューション内の製品／サービスを組み合わせて導入していただくことで、本格的な情報セキュリティマネジメントの仕組みと、それに基づく効率的な情報セキュリティ対策を同時に実現することが可能です。次節より富士通のセキュリティソリューションの各レイヤについてご説明いたします。

3.インフラレイヤ

昨今、組織からの顧客情報の流出事件が相次ぎ、大きな社会問題となっています。以下は国内において初めて情報漏洩に対し、その被害金額を明示した事例です。

＜概略＞

Ａ市は、システムの開発を外部の企業に委託。組織内での作業は17時までと時間的に制約が大きかった為に、市は重要機密である住基台帳などの元データ(約21万件)の持ち帰りを許可したが、下請けの作業員が、データをコピーしたMOを名簿業者に販売。これがインターネット販売されたことで事件が発覚した。 同市民は「精神的苦痛を受けた」として訴えを起こし、地裁は原告の訴えを全面的に認め1人当たり1万5000円の支払いを命じた。

このような情報漏洩事件の多くはずさんな管理体制が招いたものであり、いま組織における情報漏洩対策の抜本的な見直しが求められています。加えて2005年4月1日には個人情報保護法の施行も控えており、法的な面からも情報漏洩への対策は必須かつ急務となっています。しかし、単に情報漏洩といってもその流出経路には、内部犯罪、ネットワークの盗聴、機器の盗難など多くのパターンがあり、それら全てに適切な対策を行わなければ効果はありません。
また、上記の事例に見られるような内部の人間による犯行を防ぐには技術的な対策のほかに組織的な対策が欠かせません。内部犯行は社員一人一人にセキュリティに対する意識を根付かせなければ根本的に解決しない問題だからです。したがって組織におけるセキュリティ対策は技術的な面だけに片寄ること無く、組織的な面も考慮してバランスよく行うことが大切といえます。
以下では情報漏洩に対する技術的な対策であるインフラレイヤ における情報漏洩対策を説明していきます。

3-1. 情報漏洩対策の戦略

情報漏洩対策の運用は「性善説」と「性悪説」 、どちらか一方だけに基づいた運用では上手く進めていく事はできません。従って「性善説」に従いつつも、「性悪説」も考慮し、リスクが大きく、かつ対策のパフォーマンスが高いところから順に対策を進めて、内部犯罪のリスクを少しずつ低減させていく方法がもっとも現実的な対策です。

3-2. 情報漏洩対策ステップ

次に対策の進め方について説明いたします。まず初めに情報漏洩の被害が発生する頻度と、発生した場合の被害の大きさ、及び、その対策に必要なコスト／期間を洗い出します。次に、その中で被害／頻度が大きく対策のコストが小さいものに対して対策を行います（ステップ1：基盤整備）。
その後、外部への機器持ち出しのような、基盤を整備したうえでも残るリスク部分について個別に対策を行います（ステップ2：個別リスク対策）。

3-3. 情報漏洩対策のカテゴリと各カテゴリ別の対策方法

どこに対策を施すかについては、逆にどこから情報漏洩が起こるのかを考えるということになります。以下では情報漏洩が起こる箇所（漏洩リスク）を「情報漏洩防止基盤の不備」、「内部犯罪」、「インターネット悪用」、「ネットワーク盗聴」、「機器盗難」の５つにカテゴリに大別し、各々のカテゴリにおける課題とその対策方法をご紹介していきます。

ページのトップへ▲

4.組織規定レイヤ

前述したインフラレイヤにおける情報漏洩対策を行ったとしても、情報資産の利用者全てのセキュリティ意識が高くなければ何の効果も発揮することができません。とくに内部の人間による情報漏洩は社員一人一人にセキュリティに対する意識を根付かせなければ、根本的に解決することが出来ない問題です。組織規定レイヤはこのような組織的なセキュリティの維持・管理基盤のソリューション群であり、以下の3つから成り立っています。

これらのソリューションは、組織としての情報セキュリティの取り組みに大切とされる5つのポイントを満たすように提供されています。以降よりその5つのポイントについてご紹介していきます。

■情報セキュリティ推進組織

情報セキュリティポリシーを策定、定着させ、セキュリティ対策を実施／推進するためには、組織全体をカバーする情報セキュリティ推進組織が必要になります。そのため組織横断的な「情報セキュリティ委員会」を設置するのが一般的となっています。

■セキュリティポリシー

全セキュリティ事故に対し、企業の内部犯罪の占める割合が約8割と言われる昨今、セキュリティポリシーによる網羅的かつバランスのとれたセキュリティ対策の推進はますますその重要度を増しています。一般にセキュリティポリシーは、情報セキュリティ基本規定と情報セキュリティ対策基準の2部構成になります。

実際に各部門にこれらの内容を実施させていくためには、人的・物理的・技術的セキュリティ対策実施の際に準備すべき実施手順書、マニュアル、設計書等が必要になります。

■情報セキュリティ教育

全従業員のセキュリティ意識を向上させ、セキュリティポリシーを定着させていくためには十分な教育を行うことが必要です。この教育は全従業員に対して同一の内容を実施するよりも、職能（部門毎）や階層（管理職、情報化推進担当、一般職）に特化した教育へ展開していくことにより、より高い効果が期待できます。

■情報セキュリティ監査

情報セキュリティ対策には完全というものがありませんので、情報セキュリティポリシーの構築後も継続的な活動を通してセキュリティを向上させ続ける必要があります。この継続的な情報セキュリティ対策への取り組みにおいて必要となるのが情報セキュリティ監査 です。監査には内部監査と外部監査がありますが、自らでは気づきにくい情報セキュリティの欠陥を発見するためにも、外部の情報セキュリティ監査を検討されることをお奨めします。

■情報セキュリティ認証

近年、国内において、情報セキュリティに関する認証制度の整備が大きく進んでおり、今後は「ISMS適合性評価制度」、「ISO/IEC 15408 (JIS X 5070)」等の制度を活用して各組織が情報セキュリティに取り組む段階にきています。

組織規定レイヤの対策はインフラレイヤの対策に比べると遅れがちですが、内部の人間の犯行による情報漏洩被害は外部犯行に比べてきわめて深刻です。そのような犯行を未然に防ぐためにも、また第二、第三の犯行を生み出さないためにも、ここで説明した５つのポイントに基づいて対策を行い、社内にセキュリティに対する意識を根付かせることが大切です。

ページのトップへ▲

5.アプリケーションレイヤ

お客様の業務システムのセキュリティ対策など、個別アプリケーションのレベルでお客様のセキュリティ要件に答えるのがアプリケーションレイヤです。アプリケーションレイヤは以下のソリューションから成り立っています。
アプリケーションレイヤに関する詳しい説明は同号掲載中の「これだけは知っておきたいインターネットセキュリティ」（連載第4回「アプリケーションのセキュリティ対策とは」）をご参照下さい。

■電子認証基盤

電子申請/電子商取引などに不可欠な電子認証の運用を生体認証や電子証明書サービスをはじめとする各種製品/サービスの提供により支援します。

■電子文書保証

電子文書に関する保管や事後証明のサービスを提供します。

■アプリケーションセキュリティ設計構築支援

セキュリティホールを持たない堅牢なアプリケーション設計・構築を支援します。

ページのトップへ▲

●おわりに

情報セキュリティは、ITの重要課題として社会全体に与える影響がますます大きくなっています。その一例として、2003年10月に経済産業省は、官民が協調しながら総合的な戦略の下で対策を講じるための政策として、「情報セキュリティ総合戦略」を発表しました。この戦略では、施策内容の提示にとどまらず、各分野における具体的な実施目標と実施時期を含んだアクションプランも提示されており、今後、情報セキュリティ対策がますます求められるようになることが予想されます。
今回は、新しい時代にマッチした情報セキュリティマネジメントの考え方と、それを実現する富士通のセキュリティソリューションについてご紹介をさせて頂きました。富士通のセキュリティソリューションの提供により、お客様のあらゆるセキュリティ対策にご対応可能です。本内容が、お客様のセキュリティ対策の一助となれば幸いです。

＜参考URL＞「富士通の考えるセキュリティ対策とは」

第1回　情報セキュリティマネジメントと対策

/family/familyroom/syuppan/family/webs/w009/secure/index.html

第2回　インフラレイヤ　情報漏洩対策のあり方とは

/family/familyroom/syuppan/family/webs/w010/secure/index.html

第3回　技術的なセキュリティ対策に加えて（組織規定対策）

/family/familyroom/syuppan/family/webs/w011/secure/index.html

■用語説明

情報リスクマネジメント

情報セキュリティマネジメントの最も中核をなす要素で、「セキュリティ方針立案」−「対策実施」−「セキュリティ監査」−「改善」の サイクルに沿って組織のセキュリティ対策を実施する取り組みです。情報資産の洗い出しやセキュリティリスクの分析など、事前に行うマネジメント整備作業には専門的知識が必要となる場合があります。その場合はコンサルタントなど外部のリソースを活用することでスムーズに整備作業を進めることができます。

準拠性マネジメント

マネジメントの内容を各種の国際標準や業界の標準に準拠させる取り組みです。情報セキュリティ関連の標準は「セキュリティ機能」に関するものと「セキュリティ運用」に関するものに大別され、前者の例として「ISO/IEC 15408（JIS X 5070）」、後者の例としては「ISO/IEC 17799 (JIS X 5080)」があります。

パフォーマンスマネジメント

計画もしくは実施しているセキュリティ対策がリスクに見合っているかを評価し、最小の投資で最大の効果を発揮させるための取り組みです。適切に評価するためには「組織の資産価値」と「セキュリティリスクの種類と大きさ」を正しく把握することが必要になりますので、信頼できる外部機関や評価機関に評価を依頼するのも有効です。

富士通規準セキュリティポリシー

富士通規準セキュリティポリシー体系は、富士通のセキュリティソリューションを開発する際にその基礎として策定した体系的なセキュリティポリシーです。
基本方針を示す「基本編」と各セキュリティソリューションに対応する複数の「機能セキュリティポリシー」からなり、富士通のセキュリティソリューションの構成、対象範囲や狙いを理解する上で参考になります。お客様が情報セキュリティポリシーを策定する場合には、取り扱う情報とそのセキュリティ上の要求事項を明らかにし、また組織や情報システムの構成・規模・運用、さらに業務や業種に関わる要件などを多面的に検討して情報セキュリティポリシーに反映します。
富士通規準セキュリティポリシーは、最小限の規定を示す事例として、情報セキュリティポリシー策定の参考にしていただくことができます。また、ISO/IEC 17799 (BS7799) など国内外の代表的なセキュリティ標準との親和性を考慮して作成されていますので、広く認知された考え方に沿う記述の例として参照することもできます。

富士通規準セキュリティポリシー

3つのレイヤと11のソリューション

3つのレイヤはそれぞれ「組織的なセキュリティの維持・管理の基盤」、「組織外部・内部からの情報資産侵害を防ぐ基盤」、「取引や情報流通を安全に行うための基盤」として位置付けられており、11のソリューションはお客様の代表的なセキュリティニーズのキーワードごとに、その解決に必要な製品・サービスと運用ノウハウがパッケージ化されたものです。

インフラレイヤ

インフラレイヤは不正アクセスやウイルスなどの脅威からITを通して組織の情報資産を守るためのソリューション群であり、以下の5つから成り立っています。

「性善説」と「性悪説」

システムの運用には「性善説」に基づくものと「性悪説」に基づくものがあります。「性善説」に基づいた運用とは、内部の人間を信用して、重要な情報に対するアクセス制限等の対策を行わない運用をいいます。また、「性悪説」に基づいた運用とは、内部の人間を信用せず、情報へのアクセス制御や、犯人特定のための追跡記録、外部からの侵入防止などの対策を行う運用をいいます。では多大なコストをかけて「性悪説」に基づいた運用を行えば情報漏洩を完全に防げるのでしょうか。実際はそうではありません。情報へアクセスできる正当な権限をもったものが悪意ある行動を取った場合、それを防ぐことはできないのです。つまり、利用者の悪意の存在を前提とすると、一般的なアクセス制御技術では情報漏洩を防ぐことはできないということになります。

情報セキュリティ基本規定

経企業の情報セキュリティに対する取り組み方針や、経営者の声明を記述したものです。

情報セキュリティ対策基準

全社で共通的に実施すべきセキュリティ対策を網羅し、記述したものです。

情報セキュリティ監査

経済産業省では2003年4月1日より「情報セキュリティ監査制度」の運用を開始しており、その必要性はますます高まっていると言えます。

ISMS適合性評価制度

国際的に整合性のとれた情報システムのセキュリティ管理に対する第三者適合性評価制度です。認証を受けるメリットとしては以下の点があげられます。