特集：ネットワークにおける情報セキュリティ構築の注意点～規制するのではなく、ミスをカバーする仕組みへ～

ホーム > 特集一覧 > ネットワークにおける情報セキュリティ構築の注意点

○プロフィール
内田昌宏（うちだまさひろ）
技術士（情報工学部門）
株式会社ネットマークス（http://www.netmarks.co.jp/）
コンサルティング事業部長　シニアコンサルタント

1985年住友電気工業株式会社に入社。 1994年よりネットワークセキュリティのシステムインテグレーションに従事。 1997年株式会社ネットマークス設立に伴い転籍。以降、情報セキュリティに関するコンサルティングおよびプラニングに邁進。技術士（情報工学部門）。日本技術士会幹事。

1）

2）

3）

4）

5）

1）それでも事故は起きている

　組織運営および情報システムを取り巻く環境は、トラフィック増大によるレスポンスの低下、ハッカーによる不正アクセス、リテラシ不足による情報流出等さまざまな問題や脅威に取り囲まれている。しかし、技術の進歩はネットワークをより多機能化・複雑化させており、これら不安の根本原因を究明して対策をうつのは容易なことではない。
一方、各企業の情報セキュリティ対策については、
　・情報セキュリティ意識に個人差がある
　・急激に変化するIT環境に対応した情報セキュリティの人材が絶対的に不足している
　・現場は、日々、事故対応・障害対応に追われている
等の問題が指摘されている。
　JNSA¹が毎年公開している「情報セキュリティインシデントに関する調査報告書」によると、外部脅威に比べて、内部過失や内部悪意による事故が増加しており［図1］、特に内部悪意によって、大量の情報が漏洩している現実がうかがえる［図2］。

※¹ NPO日本ネットワークセキュリティ協会（http://www.jnsa.org）

図1：漏洩原因比率（発生件数）

図2：漏洩原因比率（情報量）

※² ［図1］［図2］とも、JNSA 2006年情報セキュリティインシデントに関する調査報告書より引用

　なぜ事故が減らないのか。これまでの各社の対応は、業務を優先するあまり、事後対応的あるいは対処療法的に管理策を導入してきたケースも少なくない。導入した管理策の一つ一つは決して間違っていないが、結果的に〝ツールの導入〟が目的になってしまい、いわゆるパッチワークシステムになってしまった。またIT投資を避けマニュアルオペレーションを残したために、かえって内部過失（設定ミス、操作ミス等）が多く予想を超えるコストが発生した例もある。「対策をうたなかったかといって事故が起きるわけではない／対策をうったからといって事故が起こらない保証はない」とはよく言われることだが、いずれも目標設定と方法論が誤っていたといわざるを得ない。

2）セキュリティコストは経営コスト

　こうした状況を受けて情報セキュリティは、技術的管理策から組織的管理策／人的管理策／物理的管理策などへ展開し、かつPDCAによるマネジメントが求められるようになった［図3］。

図3：PDCAサイクルと主な活動内容

　内部統制も情報セキュリティも本来「あたりまえ」のこと。結果はもとより、そのプロセスが問われている。ルール（セキュリティポリシ）を作り、ルールの遵守状況や例外処置を常に把握・管理（モニタリング）し、改善していくという計画的かつ組織的な活動が不可欠なのである。
　なお情報セキュリティはコストがかさむ実用技術である。しかし有効活用できれば、企業価値を高め、すぐれた貢献が期待できる。その意味で、今やセキュリティコストは経営コストととらえるべきだ。
　なおリスクベース概念の利用は、網羅性と同時に実施計画立案に役に立つ［図4］。リスクを考慮した重み付けと、それに従ったマネジメントで、組織に見合ったコントロールを効率的に実施することができる。

図4：リスクベース

3）アプローチ

　情報セキュリティ構築のステップは、おおよそ［図5］のとおりである。まずは現状を評価分析し、抱えている脅威を正確に認識することが出発点になる。

図5：情報セキュリティ構築ステップ

●アセスメント段階でのポイントは以下の通り。
・	アセスメントは効率的かつ俯瞰的に行ない、具体策へつながる成果物とすること（総論、一般論で終わらないこと）
・	実施基準やガイドライン、BSC³ 、ITIL⁴ 、COBIT⁵ 等フレームワークを活用する際には、そのままあてはめるのではなく（実施基準やフレームワークに振り回されるのではなく）、組織に適応してアレンジ（および融合）すること
・	セキュリティポリシは、現場に適用できるか否か（業務へ大きな支障を与えないか）を検証し、フィードバックすること

●定着活動でのポイント
・	年間計画と実施体制を確立すること（経営層＝情報セキュリティ委員会の承認必須）
・	教育計画に基づき教育を実施し、効果測定を行なうこと
・	自己点検および内部監査による結果は、見直し・改善に役立てること
・	遵守状況、例外措置、違反などを継続的にモニタリングすること
・	遵守できていない項目は、即罰則対象にするのではなく、まずは遵守できない要因を分析すること。

●IT実装のポイント
・	対策有効性評価（投資効果測定）の結果をロードマップ（IT化計画）［図6］に反映させること
・	ITで実装した方が、確実かつ効果的なものを見極めること
・	運用管理は情報システム部門に丸投げせず、全社活動と連携し整合性をとること

※³ Balanced Score Card：経営戦略フレームワークであり業績評価指標
※⁴ IT Infrastructure Library：運用管理における体系的・実践的フレームワーク
※⁵ Control Objectives for Information and related Technology：ITガバナンス実践のフレームワーク

図6：IT実装ロードマップ例

4）IT管理策の最近のトレンド

　これまで実施したアセスメントの結果から、各社共通の課題がみえてきた。ITへの依存度がますます高まる中、各社毎の〝落とし所〟を見出し、確信が持てるIT統制を実現したい。

4.1. 外部脅威

数年前に猛威を振るったワームの脅威にかわり、ボットやフィッシングなど特定の情報資産（個人情報など）や金銭を狙う攻撃が組織的に行なわれているほか、引き続きソフトウェア製品が持つセキュリティホールを狙った攻撃も後を絶たない。
	└ アンチウイルスやパッチマネジメントの徹底、定期的なペネトレーションなど

また迷惑メールの急増により、個人へ被害が及んだり、膨大な迷惑メールにより深刻なレスポンス低下を招いたりしている。
	└ ユーザリテラシの向上、アンチスパムの導入など

4.2. 内部過失

ID管理
古いIDが有効なまま残っていたり、パスワードマネジメントが徹底されていないことにより、不正アクセスの危険性が高まっている。実際、多くの内部悪意による漏洩事故の原因になっている。
└	キーワードは、統合ID管理、ワークフロー（アカウント申請、承認手続き）、プロビジョニング
└	またID管理のために、システム毎に個別にディレクトリサービスを使用しているケースが少なくないが、この機会に統合化することが望ましい。

アクセス制御
許可された人が、許可された範囲で業務を行なうことが求められている。特に管理者権限を必要とする業務において、管理の徹底が求められる
└	開発環境、テスト環境、本番環境の分離と共に、職務分離をより確実にするために、必要な時間だけ必要な管理者権限IDを発行する仕組みが必要である。

事業継続（DRなど）
事業継続のためには、単にデータバックアップではなく、アプリケーション、ハードウェア、オペレータ（人）のバックアップが不可欠である。このためにはビジネス影響分析を行ない、重要業務（およびIT）において事業継続の指標を定めることが必要である［図7］。

図7：事業継続の指標

4.3. 内部悪意

監視、監査証跡（ログ管理）

不正なアクセスを監視するだけでなく、職務分離（アクセス制御）が行なうことができない業務の場合、アクセス記録（誰が、いつ、どこで、なにをしたか）といった記録を定期的に確認することが求められている。

5）さいごに

Always Risk Communications（リスク共有）
No Audience, All Players（全員参加）

　この2つを普遍的なキャッチフレーズとし、トップの強い意志と全員参加で、必ず目標が達成できると確信する。

このページのトップへ

ホームに戻る　　

サイトマップ