| エンタープライズ:トピックス | 2002年5月29日更新 |
BS7799取得でバランスの取れたセキュリティ対策を実現したNTTデータ
 |
|
|
|
今年4月より,情報処理振興協会(JIPDEC)による情報セキュリティマネジメントシステム(ISMS)適合性評価制度の正式運用が開始された。このISMS適合性評価制度のベースになっているのが,英国標準である「BS7799」だ。
NTTデータはISMS適合性評価制度の正式運用に先立つ2001年9月に,BS7799の認証を取得した。ただし全社が対象ではなく,セキュリティ事業部(ITセキュリティ推進センター)と共同者を含めた100名程度が対象である。
RSA Conference 2002 Japanのセッションの1つ,同社セキュリティ事業部,コンサルティンググループマネージャを務める土屋茂樹氏が,BS7799認証取得に至るまでの経緯やノウハウと,一連の動きが同社にもたらした影響について語った。
ポリシー改正を機に
NTTデータでは,1998年の時点で社内のセキュリティポリシーを策定。これに合わせて社員向けにWebベースの教育プログラムも作成し,定期的な受講を義務付けていたという。セキュリティポリシーが話題に上るようになるずっと以前のことだ。
同社は昨年,セキュリティに対する取り組みをグループ全体に拡張し,ポリシーを改正。新オフィスへの移転という要素もあいまって,これを機にBS7799の認証取得に取り組むことを決定したという。
BS7799認証取得に向けたプロジェクトチームは2001年1月に始動。コアメンバー7名と,ネットワーク/オフィス管理者8名が所属し,彼らが中心となって,オフィスやネットワークルールの見直しも含め,BS7799で示されている127の項目すべてについて,漏れがないようチェックしながら1つひとつつぶしていった。並行して,メンバー全員に対し,プロシージャに関する教育活動を2日をかけて行ったそうだ。
一連の活動を経て,2001年にはBSI Japanによる予備審査を通過。2001年8月の本審査を経て,晴れて9月にBS7799認証を取得した。ちなみに本審査には,NTTデータからは担当者のほかマネージャクラスの人員が出席し,文書審査と実地審査,まとめという一連の作業に,合わせて5日間を要したという。
土屋氏は,あくまでNTTデータにおける一例だと前置きしながら,「国境警備と同じことなのだろうが,審査の際には,境界線上の管理策について多く質問された。例えば,ISMSの適用範囲が“ビルのこのフロアからこのフロアまで”だとすれば,その中と外を行き来する清掃員についてはどう対応するか,といったようなことだ」と,その際の印象を述べている。
トップのコミットとメンバーの協力が不可欠
土屋氏は認証取得までの一連のステップを振り返って,「トップのコミットとメンバーの協力が不可欠。“これをやるんだ”という雰囲気がないと立ち上げは辛かったかもしれない」と述べた。同時に,ISMSの下地――セキュリティポリシーや社員に対する教育体制――の有無も,認定取得までの作業に大きく影響を与えると語った。
「BS7799の認証取得作業を通じて,バランスの取れたセキュリティ対策をとることができた。また,目に見えないセキュリティというものを,目に見える形でアピールできたというメリットもある。外部の人間の監査ということで,トップの指示に強制力が加わったということも,メリットの1つに挙げられるだろう」(同氏)
ただその一方で,企業セキュリティの確立という本来の目的を考えると,検討すべき事柄も残る。「BS7799を取得すればセキュリティはOKかというと,そうではない。一定の基準は満たすことができるが,それですべてのセキュリティが満たされるわけではない」(土屋氏)
その例として同氏は,検討の俎上に上らないリスクやセキュリティレベルの妥当性など,審査対象から外れた部分に対するチェックを挙げるとともに,こんな風に述べている。
「財務上のリスクやビジネス上のリスクは管理対象が一部に限定されるが,情報セキュリティは全員に網をかぶせなくてはならない。この点でセキュリティ管理は特異なものだ」(土屋氏)
また,機能と構築コスト,運用コスト(TCO)のバランスという部分も,BS7799の審査対象とはならない。だが,この2つのバランスを考慮し,セキュリティの目標と費用対効果を両立させることで,BS7799を超える優れた対策が実現できると同氏は指摘した。
さらに今後は,取引先や顧客との情報共有をポリシーの規定とどうすり合わせ,実現していくかも検討課題だという。
「かつて,暗黙の了解と村長の判断の元で動いていた村が,法律が整備された国家となり,さらに国際条約などで律される国際社会へと移行していったように,ポリシーの存在しなかったネットワークが,BS7799などの取得を経て,管理された情報システムへと変化しようとしている。そして,統一基準や相互認証の下に異なる組織が結ばれるというのが,将来の情報システムの姿になるだろう」(土屋氏)
関連リンク
[高橋睦美,ITmedia]
