日 SO / に C 15408 」の概要 製品ーっーっからセキュリティ対策を図るボトムアップ式の 国際標準として定着しつつある。 ◆ボトムアップ式の情報セキュリテイ国際標準日 SO / 旧 C 15408 」 これまでに紹介してきた ISO / C177 的や BS77 的は、情報セキュリティの マネジメントを標準化し、セキュリティ方針から実装レベルに展開させる トップダウンの規格でした。これに対し、 IT 製品やシステムのセキュリテ ィ機能など、一つ一つの製品に対してセキュリティを標準化し、そこから セキュリティ向上させるポトムアップ型の国際標準規格があります。それ カⅡ SO / 'IECI 制です。 ISO / IECI 08 の認定対象と想定される製品には、オペレーティングシス テム、データベース、ファイアウォール、 IC カード、 PKI 、 VPN 、ネットワ ーク機器などがあります。製品毎に認定ができるので、工場や事業所、特 定のシステムのセキュリティ維持といった部分的な採用に、 ISO/IEC15408 は適しています。 日本では、躍年 7 月に S X 70 「情報技術セキュリティの評価基準」と して国内標準化されました。 ◆旧 0 / 旧 C 15408 の構成内容 ISO / IEC15408 の構成は大きく 3 パートに分かれています。パート 1 は 「情報技術セキュリティ評価のためのコモンクライテリア ( 概念の一般モデ ル ) 」で、こでは、想定される脅威分析が中心となっています。パート 2 は「情報技術セキュリティ評価のためのコモンクライテリア ( セキュリテ ィ機能要件 ) 」で、脅威に対する製品の機能について触れられています。パ ート 3 の「情報技術セキュリティ評価のためのコモンクライテリア ( セキ ュリティ保証要件 ) 」では、最終的に機能保証するレベルでセキュリティ規 格がわかるようになっています。 166
ロファイアウォールの種類 専用ハードウェア ( 商用 ) 商用ソフトウェア 〇セキュリティホールが少ない 〇改ざんの可能性が低い 〇パフォーマンスに優れている 〇物理的接触に配慮 利点 〇操作性に優れている 〇バージョンアップが容易 〇拡張機能 〇無料 〇カスタマイズが可能 ( オープ ンソースの場合 ) フリーソフトウェア x 高価 ( 値段、メンテ ナンス料金 ) 代替機 が必要 x 物理的接触による 攻撃は別途考慮す る必要あり x 別途ハードウェア が必要 x サポートなし x セキュリティ情報の 収集が特に重要と なる >< 別途ハードウェア が必要 欠点 ウォールがあります。商用ソフトウェアのメリットとしては、バージョン アップが容易なことや、操作性に優れていることが挙げられます。 これに対して ipchains のような、無料フリーソフトウェアのファイアウォ ールもあります。こちらはソースプログラムが一般に公開されているので、 自社のセキュリテイ事情に合わせたカスタマイズが可能です。ただし、ソ ースプログラムが公開されているということは、ハッカーによってセキュ リティホールが発見される可能もあります。セキュリティホールが明らか になった場合は容易に攻撃される可能性があるので、常にセキュリティ情 報に注意を払う必要があります。 また、ソフトウェアのファイアウォールについては、いすれも別途ハー ドウェアと OS を用意する必要があります。ハードウェアは、市販のワーク ステーションかパソコンで十分です。 OS は、 OS 自身にセキュリティホール、 バグが存在する可能性もあるので、ファイアウォール導入後もセキュリテ ィ対策を継続していく必要があります。 第 4 章◎セキュリティテクノロジーの最先端 133
ロ旧 O 刀 ECI 7799 における管理分野 管理分野 ( 1 0 分野 ) セキュリテイボリシー セキュリティ組織 資産の識別管理 人的セキュリティ 物理的、環境的 セキュリティ 運用、通信の セキュリティ システムの開発、保守 アクセス管理 業務継続計画 説 明 準 拠 経営者の承認を得たセキュリティ方針 セキュリティ対策を行なう組織に関する構成、体制 セキュリティを維持する上で対象となる資産をリス クに基づいた分類、管理 セキュリティに携わる人物に対するセキュリティ対 策 ( 採用、教育、啓蒙、訓練など ) 天災から物理的な侵入などの物理的なセキュリテ ィ対策、管理対象の周辺 ( 環境 ) に関するセキュリ ネットワークにおける専用回線、衛星回線に関する 記述、システムを正常に運用する上で必要となる ( 位 置情報、時刻情報などの ) セキュリティ システム構築する段階におけるセキュリティ要求 仕様から、保守に至るまでの管理 利用者の識別方法、アカウントの管理 ( 発行から廃 棄まで ) 、固有アカウント ( システム管理者権限、匿 名アカウント ) の管理 停電、火事、地震などによるシステム稼働が不能に 陥った時、業務遂行に影嚮を与えない計画 ( データ のバックアップ、マ二ュアルの保管 ) 、事故を想定し た訓練など 社内規定、国内規格、国際標準、法律、条約などへ の準拠 第 5 章◎情報セキュリティに対する「国際化・標準化」の動向 165
・セキュリティ規格の種類 大きく分けると、民間団体力丐える認証制度と、 国際標準の規格に分けることができる。 ◆民間団体が独自に与えるセキュリティマーク インターネットの商用利用が可能になった 1 ) 年代、プロバイダーを中心 としたビジネスがスタートしました。そのころからすでに、情報リスクに 対するセキュリテイへの認識はありましたが、国際化や標準化がすぐに求 められたわけではありませんでした。最初は大手企業が独自にセキュリテ ィ基準を定め、それをクリアした企業に対して独自のセキュリティマーク 使用を許可するビジネスを開始したのです。 ただし、セキュリティマークの認定を民間企業がビジネスとして展開す るのには、 2 つの問題がありました。 1 つは、独自のセキュリティマーク を発行する団体が複数登場したことで、逆にユーザー ( 消費者 ) への信頼 が薄れてしまった点です。そしてもう 1 つは、セキュリティマークの維持 コストが高かった点です。たとえばあるセキュリティマークでは、膨大な チェックリストを購入し、そのチェックリストに従ってセキュリティを確 保するという方式を採用していましたが、そのセキュリティマークを継続 して使用するには、高い更新料金が必要でした。 こうした理由から、ビジネスを目的とする独自のセキュリティマークは 廃れていったのです。 ◆求められる情報セキュリティの国際標準化 民間団体独自のセキュリティマークが袞退し、逆に登場してきたのが、 情報セキュリティの規格に関する国際化、標準化の流れです。日本では 1 的 8 年 4 月に財団法人日本情報処理開発協会 0 Ⅳ DEC ) がプライバシーマーク制度 を創設し、運用を開始しました。プライバシーマークとは、民間の認定機 関が認定し、証明するマークのことです。現在、 2 の事業所が取得してい 156
ーーセキュリティ製品をどの破 装備すればいいのか ? 150 アウォールはインターネットとの接続部だけでなく、部署間にも設置して ンを接続する電源コンセントを目的に応じて分けたりしています。ファイ 供給です。地震などの停電に備えて、無停電電源装置を設置したり、マシ 通信事業者のセキュリティ設備の主な役割は、通信サービスの安定した ②通信事業者 金融機関は顧客の信頼を保てるのです。 ティ製品や設備だけでなく、しつかりした運用体制が組み合わされてこそ、 インサイダー取引、マネーロンダリングなどに備えるためです。セキュリ 査体制も充実していることです。これは、金融機関特有のリスク、つまり しかし金融機関のセキュリティ対策の特徴は、設備だけでなく、内部監 機構を取り入れています。 プ機を用意し、マシンの故障時には自動的に切り替えるホットスタンバイ も二重に運用され管理されています。暗号装置は故障に備えてバックアッ ます。さらに災害に備えて、システムはハード面だけでなくデータとして ウイルス対策ソフトウェア、ファイアウォール、暗号装置は導入されてい ィ製品の使用を指定することはありません。しかし、どの金融機関でも、 ス対策、不正侵入防止策などがチェックされますが、具体的にセキュリテ っています。この検査では、システムがダウンしないような対策、ウイル 金融機関では、監督省庁の検査に備えたセキュリティ対策を中心に行な ①金融機関 タセンターを例に見てみましよう。 サービスによって千差万別です。ここでは、金融機関、通信事業者、デー 企業がどの程度の情報セキュリティ対策をとるのかは、業種や提供する ◆ 3 つの事例 IT に関連の深い 3 つの業種の例を参考に解説する。 業種業態によってセキュリティ対策もまちまちである。
- ・一ステップ 4 / セキュリティ ボリシーをする セキュリティポリシーは、関係者全員にしつかりと認識させ、 運用する体制を作らなければ効果を得られない。 ◆セキュリテイボリシーを広く認知させる方法 企業のセキュリティポリシーが完成したら、それを社員全員に伝える必 要があります。セキュリティポリシーが企業内でどのような効力を持って いるかは、初めて聞かされる社員にはわかりません。ですから、経営者に 支持された形でセキュリティポリシーが公表されることが重要です。一般 的には、何らかの形で経営者が意思表明を行ない、セキュリティポリシー に署名などの承認をして発効します も。と社員全員にセキリテ→桑リシー 0 主旨、内容を確実に伝える方 法としては、セキュリティポリシーに関する社内セミナーを開催したり、 ポリシーグッズ ( セキュリティポリシーについて解説した小冊子や、標語 の書かれたマウスパッドなど ) の配布も有効です。日本の企業の例として は、掲示板でセキュリティポリシーについて触れたり、社内広報にセキュ リティポリシーを説明する記事を連載させて、セキュリティ活動を紹介す る企業もあります。 ◆セキュリテイボリシーを推進するセキュリティ組織の設立 セキュリティ組織とは、従来の部署毎の組織とは別に、横断的に企業の セキュリティ情報の管理などのリスクコミュニケーションをする組織のこ とです。業務と直接関係がないセキュリティに関する問題については、優 先順位が業務より低く見られ、問題の発見が遅れることがあります。この ような遅れを無くすために、リスクコミュニケーションを行なうセキュリ ティ組織が必要なのです。 セキュリティポリシーを浸透させ、円滑に運用するには不可欠な組織で すので、一般的にはあらかじめセキュリティポリシーに定めてあります。 108
左下の図は、 KPMG カ以脚年 8 月に実施した調査の結果です。セキュリテ ィ間題に直面した企業の半数が、万円以下の損害額ですんでいます。しか し、中にはⅢ刈万円を超える損害金額を出した企業もいる調査結果を見ると、 甚大な被害の可能性は否定できません。 ◆システム中心のセキュリティ対策から情報リスクマネジメントへ 現在でも企業は、ファイアウォールなど情報リスクに対してシステム的 なセキュリティ対策をすでにとっています。そして多くの企業が、ファイ アウォールの導入などでインターネットからの不正侵入を防げると思い込 んでいます。しかし実際には、ファイアウォールでは防ぐことが困難な攻 撃はたくさんあります。また、システム上でセキュリティ対策を図っても、 適切な取り扱い方法を知らなかったり、取り扱いを誤るとセキュリティは 守れません。 これからはシステム中心の部分的なセキュリティ対策ではなく、発生す るリスクを中心に全体的なセキュリティ対策を図る情報リスクマネジメン ト (lnformation Risk Management) の考えが必要になってくるのです。 ロ求められる情報リスクマネジメント 従来のセキュリティ対策 ・システム管理担当者主導 ・現場で各個にセキュリテ ィ対策を講じる。 ・セキュリティ技術やセキ ュリティ製品が主役 情報リスクマネジメント ・経営トップの関与 ・組織にとって全体的なセ キュリティ対策を講じる。 ・マネジメントシステムが 主役 第 1 章◎事例で見る「情報リスク」の脅威 49
ーー国騨の叩 日 SO / に C 17799 」 164 ています。 す。また、客観的にセキュリティを診断する場合にも使えるよう考慮され これら管理分野は、特定の業界、企業に偏らす使えるようにできていま られています。 ィ対策の対象となる資産、関与する人、設備、運用などが管理分野で分け セキュリティポリシーとして分類されています。この他にも、セキュリテ ( 責任者 ) がそれを認め、告知することが大切です。これは管理分野の中で、 たとえば、セキュリティの体制や方針を組織に徹底させるには、経営者 項目から構成されています。 IS04EC17799 は、 10 の管理分野と、それぞれに深堀した対策方針、管理 ◆旧 O / 旧 CI 7799 の中身 スク・マネジメントの必要性が出てきたのです。 そこで組織体制から情報セキュリティを見直す ISO / IEC17799 のようなリ せんでした。 メントを誤って起きる事故、たとえば事故の隠蔽などを防ぐことはできま は、部分的にはセキュリティ対策に成功していますが、トラブルのマネジ 対策の中心となって行なわれてきました。しかしこれまでのような方式で これまで日本のセキュリティ対策は、情報システム部門がセキュリティ 日本でも、経済産業省が S ( 日本工業規格 ) として検討しています。 BS77 的から生まれた情報セキュリティの国際標準 IS04EC17799 は、現在 ◆日本での』 S 化も検討されている国際標準 FISO/IECI 7799 」 国際標準となる最有力候補である。 BS7799 から生まれた ISO / IEC17799 は、今後の情報セキュリティの
ーー情報リスクマネジメントの朝のコ 基礎「セキュリテイボリシーの策定」 88 のか、そのためには、個々人が何をすべきで、何をすべきで無いかを明確 企業や組織全体として、どのレベルでセキュリティを保持する必要がある に接続しています。このような IT 利用者の拡大や利用方法の多様化に伴い、 でした。しかし今では、多くの従業員がパソコンを利用し、ネットワーク 企業にとって IT は、かっては一部の専門家のみが利用し、管理するもの シーが必要なのでしようか ? を示したもの」と定義することができます。ではなせ、セキュリティポリ よう。セキュリティポリシーは「企業や組織の情報資産を守るために方針 もう少し詳しく、セキュリティポリシーについて理解することにしまし ◆セキュリテイボリシーとは何か ? る企業にとって、すべての土台となる重要な役目をもっているのです。 このようにセキュリティポリシーは、情報リスクマネジメントを運用す ィを実施すれば、全社レベルでの効果的なリスク対策が期待できます。 営陣の承認を得た正式な文書のことです。これをもとに企業のセキュリテ セキュリティポリシーは、情報資産を守るための方針を示したもので、経 シー ) を作る必要性が求められます。それがセキュリティポリシーです。 そこで今後は、企業レベルでセキュリティに関する統一した指針 ( ポリ や権限が及ばないからです。 ません。なせなら、部内で定めたセキュリティ対策では、他の部署に責任 これでは、企業全体の情報インフラに脅威を与えるリスクには、対処でき 実施してきましたが、その多くを部署や社員個人単位で行なってきました。 企業はこれまでにも、情報リスクを削減するためにセキュリティ対策を ◆セキュリテイボリシーを中心に企業のセキュリティを考える 書かれた情報リスクマネジメントの基本文書を策定する。 どの程度のセキュリティを確保するのか、そのために誰が何をどうするのかが
◆他の情報セキュリティ・ ・セキュリテイボリシー ベネトレーションテストの他にも、情報セキュリティの手段はいろいろ あります。たとえば、今多くの企業から注目されているセキュリティポリ シーの策定も、その一つです。セキュリティポリシーの策定とは、情報シ ステムの安全を維持するために、経営陣から表明される文書を策定するこ とです。セキュリティポリシーの中には、セキュリティ組織、セキュリテ ィの対象、範囲、管理策、罰則、準拠などが書かれています。また、セキ ュリティポリシーを策定することは、情報システムの運用を円滑にするだ けでなく、 BS77 的 ( → 18P ) などの情報セキュリティ管理認定取得にも役 立ちます。 また、外部からの攻撃はネットワークからだけではありません。物理的 な接触、天災なども外部の脅威です。セキュリティポリシーでは、このよ うな脅威も想定しています。ですから、たとえインターネットに接続して いない企業でも情報システムが存在するのであれば、セキュリティポリシ ーを策定することで、情報リスクマネジメントのメリットを得ることがで きます。セキュリティポリシーについては、第 3 章で詳しく紹介します。 ◆他の情報セキュリティ・ ・電子認証 有効な情報セキュリティの手段として、電子認証システムの導入なども 考えられます。電子商取引が大きなビジネスとして成長しつつありますが、 そこで問題となってくるのは「なりすまし」、「盗聴」、「否認」などの間題で す。このような問題を解決するために電子認証技術があり、既に多くの商 品が登場しています。しかしそれらの商品を購入しても、社内体制、電子 認証固有のドキュメントを用意しなければ、適切な運用はできません。 のような体制整備、ドキュメントを作るには、技術的な知識、電子署名法 などの法的な知識が必要となります。 電子商取引における情報リスクは、今後トラブルや事件として表面化す る可能性があります。将来発生しうるリスクに備えるのも情報リスクマネ ージメントの役割なのです。 70