| エンタープライズ:ニュース | 2003/11/20 04:24:00 更新 |
ガートナーが説明する「情報セキュリティ・アーキテクチャ」が必要な理由
ガートナージャパンの「Gartner Symposium ITxpo 2003」において、同社シニアリサーチディレクターの荒木一郎氏が「情報セキュリティ・アーキテクチャ」の重要性を強調した。
「民間企業のうちセキュリティポリシーを策定済みだと回答したのは28.5%。しかしそのポリシーがうまく運用されていると答えたのはわずか10%に過ぎず、ほとんどの企業ではうまく運用されていない」――ガートナージャパンのシニアリサーチディレクター、荒木一郎氏は、総務省が2002年に行った調査の結果を引き合いに出しながら、国内におけるセキュリティポリシーの“不在状況”をこのように指摘する。
ガートナージャパンは11月19日から21日にかけて、「Gartner Symposium ITxpo 2003」を開催している。その中のセッションにおいて荒木氏は、明確な根拠に基づき、適切な手段で体系だったセキュリティ対策を進めていくために不可欠となる「情報セキュリティ・アーキテクチャ」の必要性について論じた。
評価、判断も含めたアーキテクチャを
しばしばセキュリティポリシーの策定こそセキュリティ対策の基本と言われる。荒木氏によるとこれは確かに正しいのだが、それだけでは十分条件にはなりえない。セキュリティポリシーを実装し、それが想定したレベルに達しているかどうかを評価、判断することが必要だ。そのためのフレームワークが、ここでいう情報セキュリティ・アーキテクチャだという。
「例えば“どのようにセキュリティ製品を選択し、展開すべきか”“自社が許容できる程度の管理レベルに達したことをどのように認識、評価するか”“リスク提言のための出費が妥当なものかをどのように判断するか。過剰ではないか、あるいは過少に過ぎないかをどう判断するか”といった事柄に、明確な根拠に基づいて回答するには、情報セキュリティ・アーキテクチャが不可欠だ」(荒木氏)。
逆にこのアーキテクチャに欠けると、ベンダーに言われるままに場当たり的に製品を導入することになり、どうしても「無理、ムラ、無駄」が発生してしまうと荒木氏は述べ、効率を低下させるだけでなく、危険をも招きかねないとした。こういった「パッチワーク・セキュリティ」を避けるためにも、情報セキュリティ・アーキテクチャは重要だ。
荒木氏によるとこのフレームワークは、大きく4つのレイヤーから構成される。まず最初に来るのは、セキュリティポリシーおよびそれを基にした個別の規定から構成される「コントロール・アーキテクチャ層」。その上に、これらルールの実現に必要なテクノロジを選択する「セキュリティ・テクノロジ・アーキテクチャ層」が来る。ここが明確になってはじめて、関連製品の検討、評価に入ることになる。それが3つめの「アプリケーションと製品アーキテクチャ層」だ。そして最後に、一連のアーキテクチャが正しく達成されているかどうかを確認し、必要に応じて見直しを行う「監視検証アーキテクチャ層」が来るという。
同氏はまた、このような情報セキュリティ・アーキテクチャの存在によってはじめて、リスクの影響度や利用する状況に応じて、適切なテクノロジを選択できるようになると説明した。
ポリシー運用のポイント
荒木氏は冒頭、セキュリティポリシーが有効に実行されている割合がまだまだ低いことに触れた。それにはいくつかの要因がありそうだ。
同氏によると、セキュリティポリシーの策定、運用にはいくつかのポイントがある。まず、大本となるポリシーだけでなく、それを現場で役に立つ形の手順書やガイドラインのレベルまで落とし込まなければならないという。
「セキュリティポリシーはIT部門が中心になって策定することが多いが、IT部門が作成したものはえてして分かりにくいものになる。現場の人たちにも理解しやセキュリティポリシーとすることが重要だ。また、セキュリティレベルを高めたい一心で厳格な規定を作ると、今度は実行が難しくなる。ポリシーは実行可能であり、受け入れられる内容でなければならない」(荒木氏)。同氏はまた、100%のセキュリティを達成しようとすれば、生産性はどんどん0%に近づいていくとも述べている。
荒木氏は他にも、「○○すべき」という具合に指示を明確に示すこと、罰則規定までもすべてポリシー内に盛り込むのではなく、適宜他の社内規則との関連を明示すること、全社的な一斉導入が困難なことも多いので、時間的猶予を持って段階的に実施することといったポイントを指摘した。
また、こうして策定されたポリシーも、企業文化として根付いたものにならなくては意味がない。まずは「終業時間中のアダルトサイト閲覧のような行動について、社員がそれをポリシー違反であると認識できなくてはならない」(荒木氏)。さらに、もしこうしたポリシー違反を見かけた場合にはしかるべき報告を行うというセキュリティ文化を企業内に根付かせるとともに、そのための手法・報告経路を整備しておくことが重要だ。
セキュリティポリシーと表裏一体の関係にあるのが、情報資産の洗い出しと価値の判断といった作業からなるリスク管理だ。荒木氏にはこのリスク管理についても言及し、必ずしも全てのリスクをコントロールし、対処する必要はないと指摘した。つまり、絶対に回避すべきものはきっちり回避しながら、発生頻度や影響によっては、あえてそのリスクを「受容」するという戦略もあるという。
ただその場合も、「そのリスクを受け入れることが企業経営層としての判断であり、経営レベルの会議で承認し、その旨を文書として残しておくことだ。また最低でも1年に1回は、その判断について見直しを行うべき」という。
荒木氏はさらに、これらセキュリティポリシーやリスク管理が実効性を持ち、所定のレベルに達しているかどうかを評価、判断する手法として、スコアカードを用いての評価を挙げ、こうした手段を通じて全社的なセキュリティのレベルアップにつなげていくべきだとした。
「情報セキュリティポリシーやリスク管理戦略を情報セキュリティ・アーキテクチャの中で考え、ITプロジェクトのライフサイクルの中に組み込んでいくことが必要だ」(荒木氏)。そしてこのアーキテクチャによって、明確な根拠に基づいてセキュリティ対策を採っていることを示し、企業としての社会責任を果たすことができるとしている。。
なお荒木氏は、情報セキュリティ・アーキテクチャの必要性に関連して、個人情報保護法の成立にも触れている。「同法第22条では、“委託先の監督”が定められており、発注先や孫受けからの情報漏えいについても発注元が責任を問われることになる」(同氏)。その意味で、企業の負う責任はますます大きくなるし、従来のような守秘義務契約に頼る方法では十分なアカウンタビリティを果たせないという。
関連リンク
ガートナー ジャパンGartner Symposium ITxpo 2003[高橋睦美,ITmedia]
