|
1. はじめに
近年のビジネス環境は,ビジネスパートナー化が進み,高度なサービス(移動体,EC,オンライン)による顧客の期待が高まる一方,過度なITへの依存体質,広域ネットワーク化などによるシステムリソースの分散化などにより,これまで以上の危険要因が増してきている.このような危険要因をなるべく事前に予知し,セキュリティが確保され,バランスのとれた情報システムを継続運用するために,情報システムをセキュリティの観点から診断する要求が強くなってきた.
このような要求に対してISOでは,セキュリティマネジメントに関する国際標準化を進めており,ISO/IEC 17799(Code
of practice for information securit management:情報セキュリティマネジメントのための実践指針),およびTR
13335(Guideline for the Management of IT Securit(GMITS):ITセキュリティマネジメントのためのガイドライン)の標準化作業を実施している.これらの標準は,企業の保有する経営資源(情報,システム,人など)を守るための実践的なガイドライン(又は指針)として提供するものであり,セキュリティの確保という点から基準となるものである.
注) 本稿寄稿に先立ち,2001年7月23日に開催された情報規格調査会主催の『情報技術標準化フォーラム 』で筆者による同名の講演が行われた. >> 講演資料(pdf形式,644KB)を見る.
2. ISO/IEC 17799(情報セキュリティマネジメントのための実践指針)
2.1 ISO/IEC 17799の策定経緯
ISO/IEC 17799の前身であるBS 7799は,1992年に英国において審議が開始され,1995年にBS
7799として英国標準となった.その年,同内容をISOの国際標準化に向けて初めての試みを行ったが,英国の仕様に偏り過ぎている等の理由によりIS化が否決された.その後,英国は規格自身を2部構成とし,実践指針を示しているPart
1の部分(BS 7799-1)のみを迅速標準化手続きでISOの標準化の土俵に載せた.この2回目の提案は,各国(NB)による投票にかけられた.日本はSC
27専門委員会においていろいろと審議をした結果,反対投票を投じ,BS 7799-1の内容から判断して,TR(Technical
Report)が適していることをコメントした.しかし,賛成票がわずかに承認基準を上回り,BS 7799-1はISO/IEC 17799として2年以内の短期間で,2000年10月にIS化が決定した.
2.2 ISO/IEC 17799の概要
(1) セキュリティドメイン
本標準は,10のセキュリティドメイン(領域)に分けて,情報セキュリティを確保するための「目的」およびそれぞれに必要とされる「セキュリティ管理策(Controls)」を規定・推奨している(図-1を参照).
領域1: セキュリティポリシー
経営者による組織横断的なセキュリティポリシーの発行,および支援について規定
領域2: セキュリティ組織
セキュリティを確保するための組織作り(セキュリティ委員会の設置など)について規定
領域3: 資産の分類と統制
組織資産に対する保護のための資産目録や資産分類(極秘,部外秘など)について規定
領域4: スタッフのセキュリティ
人的な問題によるリスクを軽減するため,業務責任,採用時の審査,採用条件,教育などについて規定
領域5: 物理的 & 環境的セキュリティ
入退出管理,施設(事務所,居室等),装置の取り付けなどのセキュリティについて規定
領域6: 通信 & オペレーションマネジメント
情報処理システムの管理・運用を健全に実施するため,操作手順書の整備,運用の変更管理,セキュリティ問題管理,不正ソフトウェア対策,バックアップなどについて規定
領域7: アクセス制御
情報へのアクセス制御,利用者のアクセス管理,特権管理,ネットワークにおけるアクセス制御などについて規定(以下に具体的に例示)
領域8: システム開発 & システム運用
健全な開発・運用のため,システムへのセキュリティ要件,アプリケーションプログラムに対するセキュリティ要件,情報の秘匿・認証,暗号鍵の管理などについて規定
領域9: ビジネス継続管理
各種障害(事故,災害なども含む)における回復対策,予防対策によるビジネス継続管理(影響分析,継続計画など)について規定
領域10: 準拠
知的所有権,情報保管,プライバシー保護等に関わる法的な要件への準拠について規定
図-1 ISO/IEC 17799の規定するセキュリティマネジメント ドメイン(領域)
(2) ドメインを構成する目的,管理策の例(アクセス制御ドメイン)
上記10のドメインには,それぞれ目的(Objectives),及び管理策(Controls)が規定されており,全体で目的が36,管理策は127記述される.以下,「アクセス制御ドメイン」を例にとって概説する.
アクセス制御(第7番目)のマネジメントドメインにおいては,全部で8項目の目的が掲げられており,例えば,情報システムの利用者のアクセス管理,ネットワークにおけるアクセス制御,OSにおけるアクセス制御等が列挙されている.それぞれの目的に対して,数個のセキュリティ管理策が規定されており,それらの対策を十分に講じているかどうかが,対象とする情報システムのセキュリティが確保されているかを判断する材料となる.具体的な例として,「目的:利用者のアクセス管理」を以下に取り上げる.
◎目的:利用者のアクセス管理(IS 17799 9.2章記載)
対策1: 利用者登録(例:ユーザIDの付与方法,アクセス権の発行手続き等)
対策2: 特権の管理(例:OSやDBMSに関わる特権区分,特権割り当ての最小化等)
対策3: 利用者パスワード管理(例:個人パスワードの秘密裏な管理,初期パスワードの与え方)
対策4: 利用者のアクセス権限のレビュー(例:定期的アクセス権レビュー等)
2.3 ISO/IEC 17799の今後
2001年4月23日〜27日にかけてノルウェーのオスロで開催されたSC 27/WG 1会合において,ISO/IEC
17799に対して,カナダより大量(27件)の欠陥レポート(Defect Reports)が提出された.会合では,早期に国際規格17799の改定作業を開始することが賛成多数となり,今後,60日のNB(各国)の投票をもって,本早期改定作業を正式に開始するかどうかを決定することとした.この欠陥レポートは,技術的な問題点が18件(定義の欠落,用語の混用等),編集上(Editorial)の問題点が9件である.これらの欠陥は,他国の意見,寄書も加えて再度勘案し,2001年10月に開催予定の韓国にて審議が再開される.日本としては,国内でのレビュー結果をまとめ,改定版ISO/IEC
17799に反映させていく方針で作業を進めている.
3. ISO/IEC TR 13335(ITセキュリティマネジメントのためのガイドライン(GMITS))
3.1 GMITSの概要
TR 13335は,Technical Report(標準情報)としてITセキュリティマネジメントの枠組みについて記述したものであり,以下の第5部から構成される.
(1) 第1部:ITセキュリティのための概念及びモデル(1996年)
ITセキュリティマネジメントに含まれるさまざまな項目,及びITセキュリティマネジメントを最初に説明する上で欠くことのできない,基本的な管理の概念とモデルの概説である.本TRでは,ITセキュリティマネジメントのためのアプローチ,目的,戦略,及びポリシーについて説明し,その中で考慮すべきセキュリティ要素として,守るべき資産,脅威,ぜい(脆)弱性,リスク,防衛手段となるセーフガード等について言及している.一方,セキュリティマネジメントは,構成マネジメント,変更管理,リスクマネジメント,リスク分析,モニタリングなどの個々のプロセスによって構成され,それぞれのプロセスについて目的,処理内容,効果が記述されている.
(2) 第2部:ITセキュリティのマネジメント及び計画(1997年)
1部の内容を踏まえて,ITセキュリティマネジメントのプロセスを組織の総合的なマネジメントのプロセス並びに組織構成及びそれを構成する人々のなかにどのように取り入れていくかを,以下の視点からガイダンスしている.
・ITセキュリティマネジメントのプロセスが,ポリシー設定からセーフガード等の実施に至り,フォローアップをとおして再びポリシー設定に戻る,循環連鎖の関係にあること.
・ITセキュリティポリシーは,組織の基本目標及び戦略から導かれた組織のIT基本方針・セキュリティ基本方針等を踏まえて設定すること.
・ITシステムのライフサイクル全体にITセキュリティマネジメントを及ぼすために,その責任者と責任範囲を明確にし,ITセキュリティに関係する人々で構成された委員会を設置すること.
(3) 第3部:ITセキュリティマネジメントのための手法(1998年)
ITセキュリティのマネジメントを成功させるための手法を示し,推奨することを目的としており,リスク分析を行うにあたって取り得る4つの戦略(ベースラインアプローチ,非形式的アプローチ,詳細リスク分析及び組合せアプローチ)のメリット及びデメリットをそれぞれ示している.そして,リスク分析の実施に役立つ組合せアプローチ及びいくつかの手法を詳細に記述している.
(4) 第4部:セーフガードの選択(2000年)
セーフガードの選択についてガイダンスを行うが,ベースラインモデルと管理策とを利用することがセーフガード選択にどう役立つかについても述べている.また,これらを利用することが第3部で説明したセキュリティへの対処方法をどう補足することなのか,また,セーフガードの選択のために,評価手法をどう追加して使うかについても概説している.
(5) 第5部:ネットワークセキュリティにおけるマネジメントのガイダンス(2001年)
2001年の春のオスロ会合にてTR化が決議・承認され,現在,TR発行待ち状態である.本部は,ITシステムを外部ネットワークに接続する組織に対するガイダンスである.このガイダンスでは,外部との接続及びそれから得られる利便を保護するためのセーフガードの選択及びその使用について,並びにシステムを外部と接続するときに追加すべきセーフガードについて言及している.
3.2 GMITSの今後
GMITSは5部構成のTR規格が出揃った形となるが,第1部〜第3部までは,見直し時期にあり,読みやすさ,単純化,重複個所の排除などを目指して,第1部と第2部を合体させる方向で検討を進めている.また,同様な目的で,第3部の見直し作業を開始している.
4. 今後のセキュリティマネジメントの課題
上述したように,セキュリティマネジメントを規定する標準が2つ存在する.両者を比較すると,ISO/IEC 17799は,リスク分析,具体的な運用などの実践的な指針となるセキュリティマジメント手法を提供するもので,詳細化・具体化手法からのアプローチで策定された標準である.一方,TR
13335は,セキュリティマネジメントの概念的・体系的なフレームワークを提供するもので,上位概念からのアプローチで策定された技術資料であると区別できる.現在,双方の改定作業が並行して実施されているが,今後は,互いの関係が整理されるべきであり,改定の中でも双方を見据えた総括的で高質な作業が必要となる.
さらに,これまでの国内における情報セキュリティマネジメントに関わる規定,認定制度は国際標準(ISO/IEC 17799)の輸入型であったが,今後は国内での活用,実施が進み,日本としての立場,要求条件をより明確にして,逆に国際標準へのフィードバックを行う姿勢が必要となろう.
|
