Last Updated 2003/1/2
セキュリティポリシー概説
いまやセキュリティポリシーを持たない企業は、下手をすると淘汰されかねない、そういう時代になってしまったらしい。
現実に銀行の基幹オンラインサービスが破綻寸前になったり、現場の数々の不祥事をトップが把握できていなかったりする例が出ているのはご存知のとおりである。そして、実はこうした例は、セキュリティポリシーを持ち、そのポリシーが適正に運用されていれば防ぐことができたものばかりなのだ。
オンラインサービスの故障(と言ってもいいだろう)や不祥事とセキュリティポリシーは一見関係が薄そうに見える。だが、セキュリティポリシーを作るときには、
では、組織にはどんな非公開情報があるのだろうか?
試みに自分の組織が持つ非公開情報を挙げてみてほしい。非公開とすべき情報が意外に多いので驚かれるかも知れない。非公開情報の例を挙げてみたが、ごく一般的に考えてもこれだけの情報がある。
セキュリティを守るためには、列挙した情報すべてに適切なアクセスコントロール、適切な技術的対策、適切な管理運用ルールが必要になる。ということは、すべての情報のリスクを分析して、リスクに応じたアクセスコントロール、技術的対策、管理運用ルールを作成導入しなければならないのだ。つまり、すべての情報に関しての詳細なリスク分析を行なう必要がある。またはそれが理想なのである。
しかし、すべての情報に対してリスク分析を行なうことは、当然ものすごい量の作業が必要になることはすぐおわかりだろう。
また、情報は次々に生み出されている。組織や企業はそもそも情報を生み出し、処理し続けるものだ。続々と生み出される新しい情報に対し、いちいちものすごい作業量を割いてセキュリティ対策をするというのは、どうみても本業に差し障りが出るはずだ(笑)。
セキュリティポリシーを作るのは、その手間や作業を軽減するためでもある。
また、セキュリティ対策を考えるときも、同じ目的のためにいろいろな選択肢が存在する場合がある。ある情報を守るためにアクセスコントロールを強化すれば、究極は管理運用のルールが必要ではなくなる、というようなことだ。また、管理運用ルールでどこまでカバーするかによっては、技術的対策がほとんど必要ではなくなる場合もあるだろう。実際に導入する対策を決めるには、それらの対策案を並べて、どの対策をどこまでの範囲で実施するか(実施しないのか)、を決めなければならない。
そして、セキュリティポリシーが無ければ、いちいち分析し、その情報に最適な対策(あるいは複数の対策の組み合わせ)を都度都度判断しなければならないのだ。
組織のルールすべてのセキュリティ面を検討し、組織の業務のすべての局面でセキュリティを考えなければならないとすると、その手間や作業量は膨大なものになってしまうはずだ。しかしその手間を怠ると、セキュリティ面での不備により大きな痛手を被ることも有り得るというわけだ。そればかりか、都度都度対策を考えることで、もし対策のレベルにギャップがあったり、同じ対策方法をある場合は導入したが、ある場合は導入しなかったりすると、結果として穴が生まれてしまったりすることもありえる。
逆に、実際的かつ効果的なセキュリティポリシーを作った組織や企業は、セキュリティ上の煩雑な対応に都度都度考え悩みながら追われるようなこともなく、すっきりとスマートに対処できるようになる。また、ポリシー作成の過程でいったんルールや業務プロセスすべてをセキュリティ面からチェックしているので、新たな事態が生じたり、新しい業務プロセスが必要となったりしたとしても、必要最小限の手間で対処できるはずだ。
つまり、セキュリティポリシーを作成すれば、たんにリスクを低減するだけでなく、セキュリティ上のTCOを低減する効果もあるわけだ。投入するリソースの低減という意味では、無駄なセキュリティ対策を導入しないで済む効果もある。
継続的に見れば(セキュリティ効果はもちろんだが)経済的な効果も大きいと言えるだろう。
しかしもちろん、経済的な効果だけを見れば、そもそもセキュリティポリシーを作ったり、セキュリティ対策を導入したりしなければ、その分の費用はかからないわけだ。今まで無かったものをわざわざ高いお金払って入れなくても、今までどおりにやっていればなんとか無事に過ごせるのではないだろうか?例えハッカーにWebページを書き換えられたからといって、何が起こるわけでもないし、少々評判が悪くなるだけだ。それならいっそ今までどおり「何もしない」というのでも問題は無いのではないだろうか?・・・
そう思われる方もいらっしゃるかも知れない。
しかし、組織や企業を取り巻く環境は、決して今までどおりでは無いのである。
大きく異なる点はIT(Information Technorogy=情報技術)である。先の10年でこぞってIT化を進めた結果、今ではどの組織でも社員は自分のコンピューターで仕事をするようになっているし、インターネットメールはすでに欠かすことのできない通信手段になりつつあるし、基幹システムですら社員一人一人がブラウザを使って手軽にアクセスできるようになっている。今後は携帯電話がどんどん高機能になり、既存のインフラであるインターネットとより密接に繋がるようになっていくだろうし、電話(音声によるコミュニケーション)もインターネットやIP上で発展していくだろう。インターネットやIPを使った新しい技術は、その低価格さなどを主な理由として、今後もどんどん導入されていくはずだ。
つまり、組織や企業が行なう膨大な情報処理は、今後ますます多様化し、複雑化していくのだ。媒体も通信経路も使い方もデータの形態も、どんどん多様化し、複雑化していくというわけだ。
そういう環境での情報処理が、今までと同じで良いはずがない。
先の10年のさらにその前の30年間、組織や企業での情報処理は限られたインフラ(紙)の上で行なわれていた。そしてそのインフラの上での情報処理が長い期間続いたため、直接ルール作りに関わりがある人でなくても、漠然とどういう取扱をすればいいのか想像できるようになっていたし、ルールにしてもどこも大きな違いは無く、ある意味洗練されていたと言える。
しかし、現在は混沌とした時代に否応無く突入してしまっている。
インフラにしても媒体にしても恐ろしいほどに多様化してしまい、そのワリに携わるスタッフがそれについていけていない。紙の書類をどう取り扱うべきか、は想像できても、電子データをどう取り扱うべきか、を正確に把握できる人はそうは居ないだろう。それでもまだネットワークが普及する前は、紙の書類のルールの延長線上で考えることができたが、今はどこにでもどんなネットワークにでも手軽に簡単に接続できてしまうため、情報の流通経路や漏洩する可能性がある経路を考えても恐ろしくいろいろなヴァリエーションが存在する。
そういう状況に対処するためには、スタッフ個々人が局面ごとに分析+判断しているのでは効率が悪すぎる。そればかりでなく、すべてのスタッフがセキュリティ上好ましい判断を下せるわけはないので、危険でもある。仮に現時点での環境に応じて判断を下せるようにスタッフを教育したとしても、驚くほど頻繁に起こる画期的な技術革新が現時点での判断基準をひっくり返してしまう可能性もある。
そういう環境に対処していくために、セキュリティポリシーと、そのポリシーに沿って作られるスタンダード(ガイドライン)、プロシージャ(手順書)が必要なのである。さらに言えば、新たな事態に応じてルールを改訂していく仕組みも必要なのである。
そして、逆に言えばセキュリティポリシーを作ることは、ポリシーそのものを改訂しつづける仕組みの整備と、改訂のためのガイドラインの作成に繋がるのだ。直面するリスクにどう対処したらいいのか右往左往することなく、業務を滞りなく進めるために、いまやポリシーとその関連体系、そしてポリシーを維持しつづける仕組み、改訂しつづける仕組みは必須である。
そして、環境だけでなく組織や企業が果たすべき責任も変わってきている。というよりも、組織や企業が想定すべき危機が変わってきている、というべきだろうか。
今までであれば、ある組織に対して個人がクレームをつけようと考えた場合、
現代の組織や企業のルールを考えるうえで、情報セキュリティポリシーは欠かせないし、また逆に、情報セキュリティポリシー無くして、現代の組織運営は考えられないのではないだろうか。それはリスクの低減というだけでなく、結果として組織運営の効率化にも繋がるし、セキュリティ面だけでなく経済的な効果も期待できるのだ。さらには社会的責任に対する眼が厳しくなっている現代において、顧客からの情報を集めてそれを安全に管理することはその責任を果たすという意味でも重要になる。 情報セキュリティポリシーによって、さまざまな実質的な効果が期待できるのだ。 そういう視点を持って、情報セキュリティポリシーを作っていって欲しい。
Copyright © 2002-2003 Sonoda Michio
●Security INDEXへ