ロ情報リスクマネジメントではどういった事を実行するのか ? 職位・部門 経営者層 情報システム 部門管理職 システム管理者 やるべきこと げ統治 セキュリティ管理 セキュリティ対策 具体的な作業 げ投資事業戦略 システムの統合・合併 情報分析 システムの企画、設計 人員整理 バックアップ ウイルス対策 ライセンス管理 ③いざという事態が発生した時に、対外的な応対が素早くできる 避けられなかった脅威に対しては、企業はそれを受け入れた上で、顧客 や取引先といった社外の関係者の対応をしなければいけません。たとえば、 情報システムに関するトラブルが発生し、顧客から問い合わせが来た場合、 情報システム部門だけでは、企業の立場で判断できないことがあるかも知 トラブルを れません。情報リスクマネジメントを導入することで事前に 対処する、状況を収集する、分析する、そして判断を下す人の役割までを 確認しますので、いざという時にも、しつかりとした対外の応対が可能で す。 ④新規分野へ参入する時の下調査も情報リスクマネジメントが手助け 情報リスクマネジメントの対象は、既存の業務だけではありません。企 業が新規事業に着手する時、その分野にどのようなリスクが存在している のか、そのリスクを回避するにはどのような方法があるのか調べなければ なりませんが、そんな時にも情報リスクマネジメントは力を発揮します。 第 2 章◎情報リスクマネジメントの概要 55
◆コンピュータウイルス犯を法的に処罰できるのか ? ウイルスの作成者と対策者とのイタチゴッコに見える争いは現在でも続 いていますが、最近はウイルスの作成者が逮捕されるケースも増えてきて いるようです。まだ多くの国々では、ウイルスを作成するだけでは法律違 反とはなりません。しかし今、サイバーテロが可能なサイバー兵器として コンピュータウイルスが注目されていることもあり、ウイルス対策に新し い動きが起きています。たとえば、サイバー犯罪条約 ( → 1 制 P ) によるウ イルス作成、保持の禁止もその一つといえます。 ◆ウイルスワクチンも進化している 次々とコンピュータウイルスが変化 ( 進化 ? ) していくことに対して、 対策ソフトも新しい技術で対抗しています。 ある対策ソフトメーカーでは、顧客から届けられるウイルスらしき怪し いファイルやプログラムを自動解析するシステムを構築しています。もし 新種のウイルスを発見した場合は、対策ソフトで検出できる定義ファイル を自動生成させることができるように改良されています。ウイルスの一部 を暗号化しているウイルスでは自動解析できない場合もありますが、その 時はウイルス専門の技術者が対応します。 それでも新手のウイルスによっては、ウイルスのパターンが変化して、 特定できないタイプもあります。そのような場合には、ウイルスの行動 ( 振る舞い ) を監視して特定することが可能です。たとえば、電子メールを 一度に大量に自動的に送付するなど、通常のプログラムでは行なわない振 る舞いをアプリケーションが行なえば、それはウイルスの仕業である可能 性が高いと考えられます。ウイルスのパターンを比較して発見する方法が 静的検査と言われているのに対して、このようにウイルスの振る舞いを調 べることによって検知する方法は動的検査と言われています。 こうした体制が世界に分散していて、幻時間体制でコンピュータウイルス の被害を最小にする努力を行なっているのです。 126
ロセキュリティ教育の一般的な流れ 入社 新人研修 〇セキュリティポリシー 〇社内ネットワーク 〇守秘義務 〇ウイルス対策 〇入退館手続き 配属 部内教育 〇バックアップ 〇旧、バスワード管理 〇専門システム教育 〇運用ルール 定期的セキュリティ 〇ウイルス対策 〇不正アクセス 不定期セキュリティ教育 〇システム拡張 〇プロセス改善 異動・昇進 社内教育 〇管理職研修 〇モニタリンク、 〇セキュリティ管理 0 管理用システム 退社 契約内容の確認 ◆セキュリテイボリシーの実施に望ましい組織体制 これまで多くの企業で行なわれてきたセキュリティ対策は、部署毎に認 識が異なっている場合が多々ありました。しかし部署間で認識が異なると、 企業としてのセキュリティ対策に穴ができてしまいます。つまり、ある部 署で頑張って万全のセキュリティ体制を築いたと思っても、セキュリティ レベルの低い他の不部署からの、不正侵入やウイルスの感染の脅威にさら される危険性が考えられるからです。 では、どのような体制がセキュリティポリシーの実施に望ましいのでし ようか。社内ネットワークによって拡大するウイルスのような脅威に対抗 するには、部門間での連携が必要になります。そこで、連携を円滑にする には、セキュリティ委員会をトップに置いたセキュリティ体制を敷くと効 果的です。この委員会には、社内の IT トラブルだけでなく、外部のセキュ リティ機関や警察、マスコミなどとやりとりする機能も持たせるのです。 そのためには各部門が、部門内で発生した IT に関するトラブルを発見・ 対処した場合に、手続きに従ってセキュリティ委員会に報告する体制を整 えておく必要があります。特にパスワード紛失やウイルス被害のような報 告件数が多い事象に関しては、定型書式を用意してセキュリティ委員会に 簡単に提出できるようにするなどの工夫が必要です。 第 3 章◎セキュリティホリシーの策定 109
セキュリテイボリシー策定後の作業 これまでの社内規則などを、セキュリティポリシーの策定に併せて 修正するなどの作業カ吮生する。 ■従来の規則の見直し 認定取得のための作業 ・ポリシーは、一度作れば終わりというものではない 発生したリスクに対処する 「インシテント・レスポンス」 発生しないようにするための「情報リスクマネジメント」に対し、 発生した後にどうするのかを検討しておくのかが「Ⅲ」。 ■起こってしまった場合の対策を考える旧 ・旧体制の構築ステップ ・・ 114 116 第 4 章 「セキュリティテクノロジー」の最先端 国ウイルス対策ソフト どの企業でも一度は被害にあったことがあるコンピュータウイルス。 対策ソフトの導入は、今やピジネスマナーた。 ■企業にとって、今や日常のリスク「コンピュータウイルス」 ■コンピュータウイルスとワクチンの歴史 ・インターネットの普及がウイルスの悪質化を後押しした ? ■ますます凶悪化するコンピュータウイルス ! ■コンピュータウイルス犯を法的に処罰できるのか ? ■ウイルスワクチンも進化している 122
◆情報価値を測定するバランス・スコアカード 情報価値管理を実施するには幾つかの方法がありますが、経営者にとっ て視覚的にわかりやすい手法として、バランス・スコアカードが知られて います。これは、費用対効果を「コスト」「顧客」「プロセス」「教育・成長」 の 4 つの視点で投資の妥当性を評価する方法です。たとえば、ウイルス対 策ソフトを導入する場合を考えながら説明すると次のようになります。 第 1 にコスト面から考えると、対策ソフトを購入し、維持するには、お 金がかかります。しかし対策を怠れば、情報システムに蓄積されているデ ータ価値、会社の培ってきたプランドイメージを無くす可能性があります。 コスト面からの結論としては、ウイルス対策は投資する価値ありとなります。 第 2 に顧客に対する効果を考えます。もしウイルスに感染したファイル が顧客に発信されることがあれば、信用を失うだけでなく、本来の業務サ ービスの質も問われるでしよう。逆に顧客、納入業者からウイルスが持ち 込まれた場合、社内システムに感染して業務が停止するかもしれません。 これらの点から、ウイルス対策は顧客にもプラスの効果を持ちます。 第 3 にプロセスに対する影響を考えます。プロセスでは、新しく投資を 行なった時に、従業員の作業量がどれだけ増加するかを検討します。新し いシステムを導入すれば、取り扱いを習得するのに研修が必要になります。 このような研修時間は業務にも影響するので、プロセスとして判断材料と します。ウイルス対策ならば、社内システムのユーザーである社員には、 1 時間程度のウイルスの知識、ウイルス感染における警告メッセージに対す る取り扱いを伝えるだけで済みます。何日も業務を離れて学習する必要が ないので、業務プロセスにはほとんど影響しません。 第 4 に教育・成長の視点からも検討が必要です。ウイルス対策ソフトを 導入する場合では、 1 時間程度の教育が必要となります。この教育によっ て得られる利点は、社外からウイルスを受け取らないこと、社外にウイル スを配布しないことで、社内システムのウイルス被害を予防できることで す。これによって社内の情報システムに関するセキュリティレベルの向上 が期待できます。このような従業員の成長は投資価値が高いといえます。 82
ロなぜ国際標準を導入する必要があるのか ? 積極的な必要性 〇セキュリティ対策として、何を、どの程度すればいいのかという目標 になる。 〇顧客に安心感を与え、ビジネスの優位を確保する。 消極的な必要性 〇他社とのネットワーク接続時に要求される。 〇法律などで、対応を義務付けられる ( ドイツなど ) 。 ◆国際標準の必要性と、取得のメリット 国際標準が求められる大きな背景には、「セキュリティ対策として、何を どこまでやればよいのかがわからない」という点があります。顧客や取引 先から「おたくの会社は、情報セキュリティはしつかりしているのか ? 」 と問われた時に、何を根拠に「大丈夫です」と言えばよいのでしようか。 その根拠として国際標準が求められているのです。 今後は、取引企業とネットワークを接続する時や、顧客にサービスを提 供する時に、国際標準に準拠しているか否かを間われることになるかも知 れません。あるいは、法律上で国際標準に対応することを義務づけられる ようになるかも知れません。いすれにせよ、情報セキュリティに対する国 際標準化と日本の導入状況からは、今後目が離せません。 逆にビジネスで優位を確保するには、他社に先んじて、これら国際標準 の認定を取得し、顧客や取引先に対するアピール材料として積極的に活用 することも考えられます。 第 5 章◎情報セキュリティに対する「国際化・標準化」の動向 155
←・。 - → ロ旧とは ? 事後 事前 ・セキュリティ ボリシー策定 ・ベネトレーション テスト実施 ・ウイルス対策 ・他 情報リスクを顕在化させない マネジメントの仕組を作る 旧 ( インシデント・レスポンス ) 情報リスクが顕在化して しまった時の対応策、対応手順 ■インシデントの分類 分類 物理的なインシデント 人的なインシデント システムのインシデント ネットワークの インシデント 具体的なインシデント 地震、台風、落雷、泥棒 脅迫、ソーシャルエンジ二アリング バグ、不正ソフトウェア、ライセンス違反 ウイルス、不正アクセス、 DoS 攻撃 (DDoS 攻撃 ) 、ネットテモ 第 3 章◎セキュリテイボリシーの策定 1 1 7
ーー情報リスクマネジメントの朝のコ 基礎「セキュリテイボリシーの策定」 88 のか、そのためには、個々人が何をすべきで、何をすべきで無いかを明確 企業や組織全体として、どのレベルでセキュリティを保持する必要がある に接続しています。このような IT 利用者の拡大や利用方法の多様化に伴い、 でした。しかし今では、多くの従業員がパソコンを利用し、ネットワーク 企業にとって IT は、かっては一部の専門家のみが利用し、管理するもの シーが必要なのでしようか ? を示したもの」と定義することができます。ではなせ、セキュリティポリ よう。セキュリティポリシーは「企業や組織の情報資産を守るために方針 もう少し詳しく、セキュリティポリシーについて理解することにしまし ◆セキュリテイボリシーとは何か ? る企業にとって、すべての土台となる重要な役目をもっているのです。 このようにセキュリティポリシーは、情報リスクマネジメントを運用す ィを実施すれば、全社レベルでの効果的なリスク対策が期待できます。 営陣の承認を得た正式な文書のことです。これをもとに企業のセキュリテ セキュリティポリシーは、情報資産を守るための方針を示したもので、経 シー ) を作る必要性が求められます。それがセキュリティポリシーです。 そこで今後は、企業レベルでセキュリティに関する統一した指針 ( ポリ や権限が及ばないからです。 ません。なせなら、部内で定めたセキュリティ対策では、他の部署に責任 これでは、企業全体の情報インフラに脅威を与えるリスクには、対処でき 実施してきましたが、その多くを部署や社員個人単位で行なってきました。 企業はこれまでにも、情報リスクを削減するためにセキュリティ対策を ◆セキュリテイボリシーを中心に企業のセキュリティを考える 書かれた情報リスクマネジメントの基本文書を策定する。 どの程度のセキュリティを確保するのか、そのために誰が何をどうするのかが
規把に藤リスク マネジメントを把握する 52 テムより幻時間稼動するシステムのほうが、利用者は増加します ( リターン これは情報リスクにも同じ事が言えます。たとえば、 8 時間稼動するシス とは経験的に知られています。 けられません。大きな利益を追求すればするほど、リスクも大きくなるこ ビジネスとして利益 ( リターン ) を追求する場合、リスクを伴うことは避 らえがちですが、言うまでもなくリスクはリターンの裏返しです。一般に 「リスク」という言葉は、「危険、恐れ」というマイナスの意味として捕 するということなのです。 メントするということは、企業における情報リスクを制御 ( コントロール ) 的は、リスクを無くすことではないということです。情報リスクをマネジ ます最初に注意しなければならないのは、情報リスクマネジメントの目 ◆情報リスクを「無くす」のではなく「制御」する う視点が重要なのです。 のセキュリティ対策を大局的に管理する「情報リスクマネジメント」とい があります。ですから経営者やマネージャには、情報リスクに対する個別 ルで提え、多岐にわたる対策や手段を効果的に、効率的に組み立てる必要 手段だけに着目していてはいけません。企業を脅かす情報リスクをトータ しかし、経営者やマネージャクラスが、こういった個々のリスクや対抗 の手段を取ることは大切なことです。 です。もちろん、各従業員が情報リスクの脅威を実感し、こういった個別 対策を打っとか、マシンの故障に備えてのバックアップをとるなど、様々 情報リスクを回避する手段は、コンピュータウイルスに感染しない為の ◆これからの経営者やマネージャに欠かせない情報リスクの視点 その基本的な考えは「リスクのコントロール」にある。 「情報リスク」を「マネジメント」するとはどういうことか ?
◆米国経済に深刻な影響を与えた DDos 攻撃 ウエプサイトへの攻撃が与える被害は、個人や企業、あるいは官公庁と いった特定の範囲にとどまるものではありません。場合によっては、国の 経済、あるいは国際経済にも影響を与えかねないのです。 日本での官公庁におけるウエプサイト攻撃事件発生の 1 ヶ月後、躍年 2 月に、イーベイ、アマゾン・コム、 CNN 、バイコムなどの米国企業のウェ プサイトに集中的なアクセスが発生して、数時間もの間、インターネット サービスが提供できなくなりました。、そのため、一時はインターネット関 連銘柄の株価が下がるなど、経済的な影響を及ばしたのです。 この事件で使われた攻撃方法は、 DDos ( 分散サービス不能 ) 攻撃とよば れるもので、米国では直ちにこの DDos 攻撃に対する対抗策が官民で組織的 に実施されました。たとえば、あるソフトウェア会社は、 DD 攻撃を停止 させるプログラムを無料で公開しました。仕掛けられた攻撃を受動的に防 御するだけでなく、能動的に反撃に出る防御方法も早急に開発されました。 その努力が実り、米国は被害の長期化を防ぐことに成功しました。 しかし、 DDoS 攻撃を可能にするソフトウェアは、インターネット上に無 料で公開され、現在でも誰でも容易に入手できる状態にあります。 281 年 2 月の時点で 3 種類のソフトウェアが確認されていましたが、その後さらに 改良版が登場しているようです。これからも、 DD 攻撃や、その他のサイ バーテロ攻撃に対抗する手段の模索が欠かせない状態にあるのです。 ◆ウェブサイトを持つ企業が最低限やるべきセキュリティ対策 どんな小さな会社でも、ウエプ攻撃がないとは決して言い切れません。 現在、多くの企業がホームページを持っていますが、そういった企業は、 少なくとも「パスワードを複雑にして誰かに推測されないようにする」「パ スワードを毎週更新する」「ウエプサイトで使用しているソフトウェアのサ ポートサイトの情報を毎日チェックする」といった対策が必要です。これ だけでも、ウエプサイトの最低限の安全を保つことができるでしよう。 26