「ISMS確立の鍵は『サイクル』にあり」とシマンテック

シマンテックは3月11日、「Symantec Information Security Management Day」を開催し、企業のITガバナンスを支えるISMSの役割について説明した。

» 2005年03月11日 23時01分 公開
[ITmedia]

 「さまざまな経営環境の変化や高度化するシステム要件といった背景を踏まえると、経営者やCIOには、IT戦略の立案やすばやい経営判断、つまりITガバナンスが求められている。そしてITガバナンスを達成するには、ISMS(情報セキュリティマネジメントシステム)の実現が不可欠だ」――。

 シマンテックは3月11日、「Symantec Information Security Management Day」を開催した。この中で、同社コンサルティングサービス部 ディレクターの山内正氏はこのように述べ、ITガバナンスとISMSは企業経営の両輪であると指摘。さらに、脅威やリスクの変動を適切に反映させるべく継続的に取り組んでいくことが重要だと強調した。

ISMSがITガバナンスを支える

 インターネットが企業業務や生活に浸透するにつれ、われわれはさまざまな利便性を享受できるようになったが、一方でさまざまな危険性に取り巻かれることにもなった。

 既にたびたび指摘されていることだが、不正アクセスやウイルスなどのまん延、スパム/フィッシングに代表されるとおり、企業システムを取り巻く脅威は多様化し、増大し続けている。そのうえ、4月1日に全面施行が迫った個人情報保護法に向け、企業は「個人情報がどのように流れており、どこに漏えいの危険性があるかといった自社の状況を踏まえたうえで、対処を求められている」(山内氏)。

 「企業は3つのCという課題に直面している。1つは、個人情報保護法もそうだが、さまざまな法規制へのコンプライアンス(Compliance)と対外的な説明責任を果たすこと。2つめは、情報システムの複雑化(Complexity)だ。そして最後はコスト(Cost)。コストの制約の中で、いかに効率的に対応していくかを考えねばならない」(山内氏)。

山内氏 「セキュリティシステムを構築していくうえでは、設計時から運用のことも考慮してコンポーネントを選択すべき」とも述べた山内氏

 これら3つの「C」への解決策として、山内氏は3つのポイントを提示した。

 Complianceに対しては、「内部統制、つまりコンピュータシステムだけでなく、人や組織も含めた継続的な『管理の仕組み』をどう作り上げていくかが課題になるだろう」(同氏)。

 Complexityについては、EA(Enterprise Architecture)を通じてシステムの「見通し」を良くし、それぞれの関係性を理解できるようにすることがポイントという。

 そしてCostの面では、リスク分析をきちんと行って優先順位を付けることにより、IT投資の合理化が実現できるとした。

 いずれにしても、その根底となるのは「ITガバナンス」である。このITガバナンスを人やプロセス、そしてIT基盤という3つの側面から確立し、統合していくには、「ISMSという基盤が必要だ」(山内氏)という。

「見直し」のステップが重要

 個人情報保護法の全面施行を背景に、ISMSに対する関心は急速に高まった。最近では、誇らしげに「ISMS認証を取得しました」と謳う企業も目出つ。

 しかし、重要なのは、ただISMS認証を「取得」することではないと山内氏は釘を指した。「計画と構築、運用という3つのフェーズを回し、継続的に改善していく『サイクル』を確立することが非常に大事」(同氏)。

 またISMSを確立していく上で、セキュリティ標準「ISO17799(BS7799)」は非常に参考になるが、これに関連する雛形をただ流用するだけでは意味がないともいう。

 「雛形をただコピーして、名前をちょっと変えたとしても有効なポリシーにはならない。自組織内の有形/無形の情報資産を洗い出し、リスクを分析して対策を考えなければ、リアリティのあるポリシーにはならない」(山内氏)。逆に、とりあえず自社の情報資産台帳を作るだけでも効果はかなり異なってくるし、対策の優先順位付けも容易になるという。

 さらに、リスク分析を算出する要因となる「脅威の発生頻度」や「脅威そのもの」は刻々と変化しているのが事実。したがって「脅威の変化に応じて、日々情報資産およびリスクを見直していくことが必要だ」という。

 もう1つ忘れてならないプロセスが、システム監査だ。「システムや設備、装置はもちろん、規約や教育、手続きや人事組織も含めた内部統制(管理)の仕組みがきちんと機能しているかをチェックすることが重要。その仕組みがシステム監査だ」(山内氏)。そして、シマンテックでは「Enterprise Security Manager」を通じてその監査作業を支援していくとした。

 「情報セキュリティの確保と可用性の維持は相反することが多いとされるが、シマンテックではこれらを両立させるため『Information Integrity』を提案していく。すなわち、タイムリーかつ鳥瞰的な状況の掌握と迅速な対処、継続的な統制を可能にし、首尾一貫した対応を実現していく」(山内氏)。

 同氏は最後に「ただ防止策を講じるだけでなく、ポリシーを構築し、それに沿って対策を取り、監査を行い、それに基づき見直しを加えるという『サイクル』が必要だ」と述べ、継続的な取り組みこそISMSのポイントであると強調した。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ