連載
» 2006年06月03日 12時00分 公開

山口英の10分間セキュリティ責任者強化塾(4):「セキュリティポリシー」を誤解していないか

組織がセキュリティポリシーを持っていない、あるいは持っていても実効性が乏しいというケースは数多い。なぜこんなことになってしまったのか。実効性のあるセキュリティポリシーを構築するためのポイントとは?

[山口 英,奈良先端科学技術大学院大学情報科学研究科 教授]

 「セキュリティポリシー」という言葉が広く使われ出したのは、2000年頃から情報セキュリティ対策が大切という認識が広がり始めて以後のことだ。いまや、誰もが「まずセキュリティポリシーを作りましょう」という。

 とはいえ、セキュリティポリシーを持っていない組織がまだまだたくさんあるのも事実だ。さらに、私の友人であるセキュリティコンサルタントの皆さんと話をすると、最近「とりあえずセキュリティポリシーを作ってみたものの、実効性のないものになってしまった、どうしたらよいか」という相談が持ち込まれるケースも多いと聞く。

 つまり、この両方を合わせて考えると、(1)セキュリティポリシーを持たない企業は数多い、(2)仮に作っていたとしても本当に実効性のあるセキュリティポリシーになっているかどうかは甚だ疑問、というお寒い状況にある。これでは、まともなセキュリティ管理などできようもないだろう。どうしてこんなことになってしまったのか。

そもそも合意があるのか

 組織全体のセキュリティポリシーを作ったならば、その組織に属する誰もが合意するものでなければならない。合意の仕方はいろいろあるが、運用中のポリシーについては合意が形成されていなければ何の意味もない。セキュリティポリシーは、セキュリティ管理のさまざまなルールの基盤となるものなので、合意が形成できなければ、ルールを徹底させることもできないことになってしまう。

 誰もがセキュリティポリシーに合意している状況を作るためには、少なくとも誰もがセキュリティポリシーに対して理解をすることが必要である。このためには、組織に属する誰に対してもセキュリティポリシーを説明することが最低限必要だろう。

 これは実話だが、ある組織でセキュリティポリシーを作ったものの、正社員にのみ説明して、同じ職場で働く派遣社員、パート社員、アルバイト、下請け企業の職員など、情報システムに触れることがあるほかの人たちには説明なく運用しているケースがあった。「誰も」というのは、組織で運用する情報システムを利用する人すべてを意味する。

 また、セキュリティポリシーを作って、一度は組織員に説明したものの、ポリシーはその後ファイルに綴じられたままファイルキャビネットの肥やしとなっているところもたくさんある。セキュリティポリシーは作ることも重要だが、作ったセキュリティポリシーを運用するということが一番重要だ。まともに運用しないセキュリティポリシーなど、何の意味があろうか。セキュリティポリシーは、お守りでも、額に入れた絵画でもない。

実行性と実効性は考えたか

 次にしばしば発見されるのが、実行性、あるいは実効性のないセキュリティポリシーである。どの組織でも「業務」というものがある。業務とすり合わせをしないままセキュリティポリシーを作れば、業務実施側がセキュリティポリシーを守れない状態が定常化するのは必然だ。

 例えば、こんな実話がある。某企業では、社内で使っているメールシステムは、社内の端末でしか見てはいけないというセキュリティポリシーを作った。しかし、営業部隊は、ラップトップPCを持ち歩き、ダイヤルアップ接続を使って客先で営業ツールのWebサーバにアクセスして説明をし、電子メールで部隊内の連絡をするのが普通になっていた。策定したセキュリティポリシーは、明らかに営業部隊の業務と整合性がまったくないものであり、当然ながら営業部隊ではセキュリティポリシー違反が当たり前になった。

 セキュリティポリシーは、運用できなければ、つまり、実行性がなければまったく意味がない。つまり、組織員に受け入れられるものでなければならない。業務と矛盾するのであれば、セキュリティポリシーを作る段階でポリシーを入念に検討するか、あるいは、業務の進め方を変える業務改善を同時に進めるようにしなければならない。セキュリティポリシーは、遵守できるように考えなければならない。しかし、業務を優先するあまり、セキュリティポリシーとして実効性が確保できなければ、それも無意味だ。この意味で、双方の歩み寄りが可能な手順を経てセキュリティポリシーが策定されなければならない。

見直すことは避けられない

 セキュリティポリシーは、不具合があれば手直しをする必要がある。もちろん、ポリシーそのものが朝令暮改では組織構成員の信頼感を損なうことになるので、頻繁な改定はデメリットが大きい。しかし、いったん策定したら何年もの間見直さないというのも、情報通信システムの技術革新がどんどんと進む昨今では、現実を見ていないやり方というしかない。セキュリティポリシーは、必ず定期的に見直し、不具合があれば直すという態度が必要である。

あなたの組織は大丈夫か

さて、ここまで3つのポイントを述べた。

  1. 組織構成員全員で合意を形成しているか
  2. 実行性、実効性のあるものになっているか
  3. 定期的な見直しをしているか

 この3つのポイントで皆さんの持っているセキュリティポリシーを見直してほしい。特に、役所や本社から「○○を参考にして○○月○○日までに、セキュリティポリシーを作れ」と命令されたような場合に、教科書を参考にしてとりあえず時間をかけずに作ったようなケースは危ない。どこかの組織のセキュリティポリシー例を参考にして作った場合には、例をそのまま書き写しているケースも多々あるのだ。

 当然だが、もしもあなたの組織がセキュリティポリシーを作ってないとしたら、上の3つのポイントを良く考えたうえで作ることだ。

著者紹介

▼著者名 山口 英(やまぐち すぐる)

奈良先端科学技術大学院大学情報科学研究科教授。大規模分散処理環境構築、ネットワークセキュリティなどの研究に従事。また、WIDE Projectのメンバーとして、広域コンピュータネットワークの構築・研究を行ってきた。セキュリティに関しては、現在JPCERTコーディネーションセンターの運営委員も務めている。また、内閣官房情報セキュリティセンターの情報セキュリティ補佐官として、日本の情報セキュリティ戦略と具体的な対策の立案に携わっている。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ