「標準に振り回されず、本質的なセキュリティ対策を」とべリングポイント

「セキュリティマネジメントセミナー」の基調講演において、べリングポイントの松崎剛氏は「本質的対策」の重要性を強調した。

[高橋睦美，ITmedia]

　「ガイドラインや認定基準は万能薬ではない」――10月7日、8日の2日間にわたって行われた「セキュリティマネジメントセミナー」の基調講演において、べリングポイントの松崎剛氏（テクノロジーアンドアーキテクチャソリューションズグループ マネジャー）はこのように主張した。

　松崎氏は講演の中で、しばしば誤解される事柄を取り上げ、情報セキュリティに対する企業のあるべき取り組みについて語った。

　その1つが、BS7799やISMS、プライバシーマークといった「標準」や「ガイドライン」のとらえ方だ。「『ISMSを取得したい』『プライバシーマークを取りたい』という企業はけっこう多いが、それはあまり意味のないこと。企業として本質的なセキュリティ対策を進めるためのツールとしてISMSを使い、その一環としてマークを取得する、というのが本来あるべき姿ではないか」（松崎氏）。

　もちろん、これらの標準が意味を持たないというわけではない。ただ、忘れてはならないのは、なぜそのような標準やガイドラインが定められているのかという背景や意味を理解すること。そのうえで、自社の環境や手法に合わせて標準を使いこなすことが大事だという。

　逆に言えば「『ガイドラインに書いてあるからこうやりました』というのには意味がない」（同氏）。

既存の管理手法をうまく活用

　松崎氏はまた、「情報セキュリティの歴史はまだ浅く、品質管理やプロジェクト管理といった分野に比べると十分なツールがそろっていない」点にも言及した。

　同氏によると、情報セキュリティ管理と品質管理は「どちらも100％ということはあり得ず、非常に幅広い要素を含むという点で似ている」。万一の「事故」「事件」に対する備えであるという性質や、企業間で取引を行う際の条件になっている（セキュリティの場合は「なりつつある」段階だが）ことも共通しているし、管理手法的にも隣り合わせだとした。

　しかし「品質管理においては現状改善が重要な意味合いを持つのに対し、情報セキュリティ管理はそれの意味合いが薄い。つまり、何らかの事故が起きない限り実感されにくい性質を持っており、それゆえROI算出が求められている」（松崎氏）。しかも、情報セキュリティ管理はまだ歴史が浅く、手法が成熟するにはしばらく時間が必要だ。

　松崎氏は講演の中で、「標準＝教科書」に振り回されるのではなく、本質的な対策を取ることが重要だという点を強調したが、その際に、企業がこれまで蓄積してきた品質管理手法や統計手法、リスク管理手法が役立つという。

　「本質的な対応を進める上でのポイントの1つは、迅速性。情報資産を格付けし、それに基づいて大事なものから対応を進めることが重要だ。そしてもう1つは、周りのツールをうまく活用すること」（松崎氏）。ISMSなどのフレームワークで足りない部分は、既存の品質管理手法やプロジェクトマネジメント、数値化／統計手法や事例をうまく取り入れて補い、自社の状況に応じた本質的対策を進めるべきだとした。

　松崎氏は最後に、セキュリティ対策のROI算出が抱える課題にも触れた。セキュリティのROI算出は非常に重要だが、さまざまな要素が絡む上、事例が少ないといった要因も相まって、あまり有効な手法が存在しないのが現状だ。

　それでも、米国ではMITやスタンフォード大学、カーネギーメロン大学など大学研究機関を中心に、いくつかROSI算出手法の取り組みが進んでいるという。たとえば「品質の作り込み」の発想をセキュリティ分野に適用したり、セキュリティ投資と攻撃を受けたときの生存性との関係性を掘り下げたり、といった試みが進められているということだ。「ただ、これらをそのまま企業に適用できるかというとそうもいかない」（松崎氏）。

　一方企業サイドでは、正しい意味でのROI測定ではないが、ベンチマークを用いた同業他社との比較が行われている。また、JNSAのように、実際の事故の事例を元に、損失金額の算出テンプレート策定に取り組んでいるケースもある。ただ、これらの取り組みが確立されるまでには、まだ検討が必要そうだ。