審査員の所感
よくわかるセキュリティ

ISO9001/ISO14001/ISO27001 主任審査員 米田 延蔵

2017/5/12up

よくわかるセキュリティ | ISO認証機関 ビューローベリタス

最近、セキュリティという言葉をよく耳にするようになったと思われる方も多いのではないでしょうか。個人情報が大量に漏洩した、パソコンがウィルスに感染した、サイバー攻撃を受けた、このようなセキュリティ事件・事故が身の回りで発生し、話題になることが多くなりました。企業活動においても、経営に必要な要素として、以前は「人・物・金」でしたが、最近はこれに「情報」が追加されようになり、その管理手法であるセキュリティへの関心が高まってきています。
従来から企業の質に対する活動は、品質改善、お客様満足向上活動等、多くの企業で行われ、セキュリティもその枠組みの中で行われている場合が見受けられます。但し、品質改善とセキュリティ向上とで異なるのは、品質改善は予防処置よりも過去に起こった不具合の再発防止(是正処置など)の積み重ねに軸足がある傾向がありますが、セキュリティ向上はそれでは遅く、一度発生すると取り返しがつかなくなることです。従って、セキュリティ向上のアプローチとして、事件・事故が発生する前に、発生の可能性がある箇所をいち早く見つけて、事前に対応することが必要になってきます。すなわち、リスクアセスメントを行い、事件・事故の発生の可能性が高い箇所を見つけ、リスク対応計画を策定・実行することが重要になります。

ここでは事件・事故を事前に予防する方法について述べてみたいと思います。
ISO/IEC 27001:2013 の改訂では、予防処置という章は無くなりました。これは、組織の課題を理解した上でリスク及び機会を洗い出すことが予防処置に繋がるとの意図であり、まさに予防処置は規格の一個の章で扱うものではなく、この規格を遵守して活動することが予防処置に繋がることを表しています。

ニード・トゥ・ノウ(Need-to-know)

セキュリティの原則の一つである「ニード・トゥ・ノウ(Need-to-know)」を御存じでしょうか。これは、必要最小限の「知る必要がある情報」のみを開示すべきというものです。逆に言うと、必要のない過大な情報まで知らせないとのことです。何故これがセキュリティを運用する上で重要な原則なのでしょうか。セキュリティ事故を分類すると次のようになります。

1. 人為的な事故
1-1. 悪意のある行為
a. 内部犯行 (犯行者別:従業員、協力会社、契約・派遣、退職者、等)
b. 外部犯行 (窃盗、情報改ざん、ハッキング、等)
1-2. 人為的ミス (メール等の誤送信、ノートPCの紛失、鍵のかけ忘れ、等)
2. 機器(ソフトを含む)の障害 (ハードディスクドライブ(HDD)のクラッシュ、通信機器障害、ソフトのバグによるオンライン障害、等)
3. 自然災害 (地震、火事、台風、等)

これらの原因が複合的に重なって事故になる場合もありますが、セキュリティ対策をこれらの事故原因別に整理することも重要です。セキュリティ事故で圧倒的に多いのが人為的な事故です。特に内部犯行には注意が必要です。しかしその一方、日本人は、島国、単一民族、性善説等の観点からか、企業のセキュリティ対策ではこの内部犯行がおろそかになっている場合が多く見受けられます。


それでは内部犯行に備えるにはどのようにすれば良いでしょうか。「人を見たら泥棒と思え」というのは組織の中の風土を悪くする恐れがありますし、一緒に働いている仲間の一体感を阻害する可能性があります。そこで、内部犯行の予防の基本原則は「ニード・トゥ・ノウ」を徹底することです。すなわち、業務上知る必要のある情報は開示するが、必要のない情報までは開示しないとの考えです。この原則を組織の中に浸透させ、組織風土の中に組み入れることです。

ルール作り、周知徹底、チェック

組織の中でセキュリティ向上を目指し、レベルを上げるためには、セキュリティ規則(ルール)を決め、それを従業員他の関係者に教育等を通じて周知し、その遵守状況をチェックして注意を促すことを繰り返し行うことが重要です。ルールを厳しくすると、一見レベル向上に繋がるように思えますが、遵守することが難しくなったり、業務の効率が悪くなったりする恐れが出てきます。ルールをどの程度に決めるかは、チェックをする際にルールが守られているかの確認とともに、ルールの妥当性をフィードバックすることが重要です。これを繰り返し行うことにより、ルールの落とし所(厳しさの程度)が見つかり、組織の体質に合ったセキュリティの運用に貢献することになります。管理策の有効性評価は、管理策(ルール)が守られているか否かだけでなく、その管理策が組織運営の実態に促したものになっているかの観点からも確認されるとより良い評価に繋がります。

リスクアセスメント(リスクの見つけ方)

先に、セキュリティで重要なのは再発防止ではなく予防処置で、そのためにはセキュリティ事故が発生する可能性の高い箇所を、事前にリスクアセスメントにより手当てしておくことが重要と述べました。審査でリスクアセスメントの内容を見せて下さいとお願いしますと、情報資産台帳に、所有する情報資産を詳細に一覧にして記入し、個々の資産毎に、機密性、完全性、可用性を評価しているものを提示される場合が多くあります。一方で、お客様先で組織の従業員が取り扱うお客様情報(入退出用ICカードを含む)、運用・保守等の活動で接触する実環境データ、クラウド等社外システムに保存されている組織所有の情報、開発を供給者に委託して行う場合に供給者に提供した情報等、組織が情報の所有者でないもの、組織が所有者であるが組織の外に保存された情報に対するリスク評価が充分行われていない場合が見受けられます。
リスクアセスメントで大切なことは、組織の業務プロセスを基に、外部・内部の課題、利害関係者の要求事項を考慮して、対処する必要があるリスク及び機会を決定することです。

リスクアセスメントを情報資産台帳に資産の洗い出しから始めることは、「木を見て森を見ず」になりかねない恐れがありますので充分ご注意下さい。

終わりに

セキュリティ対策を考える時、世間を騒がせているニュースに踊らされて、標的型メール、ランサムウェアと言った、テクニカルな外部攻撃につい目を奪われがちになります。これらに対する対応策ももちろん必要ですが、私たちの身の回りの対策を地道に行うことも重要です。クリアーデスク・クリアースクリーンから始まり、PC及び電子媒体(USB、CD/DVD 等)の管理、アクセス制御等を確実に行い、従業員の意識を高めることが、先に述べたテクニカルな攻撃からの対策にも繋がります。
 

お断り: 本コラムの内容は一般的見解や個人的所感を述べたものであり、
個別の審査において一律に適用されることを保証するものではありません。
審査の現場から TOP

 

お問い合わせフォーム

 

お見積り依頼はこちらから

 

認証機関の変更をご検討ですか

 

フライヤー・パンフレットをダウンロード

 

開催予定一覧はこちら

 

関連ニュース

 

関連サービス