セキュリティポリシー概説

Last Updated 2003/1/2

NetworkWorld　2002年10月号掲載

セキュリティポリシー概説

いまやセキュリティポリシーを持たない企業は、下手をすると淘汰されかねない、そういう時代になってしまったらしい。

現実に銀行の基幹オンラインサービスが破綻寸前になったり、現場の数々の不祥事をトップが把握できていなかったりする例が出ているのはご存知のとおりである。そして、実はこうした例は、セキュリティポリシーを持ち、そのポリシーが適正に運用されていれば防ぐことができたものばかりなのだ。

オンラインサービスの故障（と言ってもいいだろう）や不祥事とセキュリティポリシーは一見関係が薄そうに見える。だが、セキュリティポリシーを作るときには、

システムが滞りなく動くか。あるいは滞った場合でもすみやかに復旧できるかどうか（業務継続計画）
不祥事などを起こしたときに隠さずに報告するか。あるいは隠したとしてもわかるような仕組みになっているかどうか（事故事件（インシデント）対応）

という点についても考える必要があるのだ。「セキュリティ」、特に「情報セキュリティ」と言うとITとか不正アクセスというところに範囲が狭まるような印象があるが、本来は経営方針であるとか企業や組織の運営方針にも深い関わりがあるものである。決してITだけの問題ではない。セキュリティも結局のところ、安全かつ継続的に業務を遂行することが目的であり、その点は他のルールと同じである。
いや、もともと組織や企業のすべてのルールはセキュリティを抜きにしては語れないのだ。組織には、その組織の目的を達成するために必要な情報があり、そうした情報のすべてを公開して良い、ということはまず無いはずだ。いかに公共性のある組織であっても、スタッフの個人情報や人事情報を公開して良い筈は無いし、業務上知りえた情報を公開してしまうと、以降のその業務に支障が出てくる場合も多い。
すべての組織には非公開とすべき情報が存在し、セキュリティを守るということは、その非公開情報を守ることである。非公開情報を非公開のままにしておけなかったら、業務継続に支障が出る可能性は高いし、どうかすると業務の存続にまで影響する。万が一非公開情報が漏れてしまった場合にどう対応するのか、そういうことも想定しておかなければ、事後処理にしくじってこれまた業務の存続に関わるような事態を引き起こしてしまう。
そういう視点で見ると、すべてが情報のセキュリティに収斂するというわけだ。

では、組織にはどんな非公開情報があるのだろうか？
試みに自分の組織が持つ非公開情報を挙げてみてほしい。非公開とすべき情報が意外に多いので驚かれるかも知れない。非公開情報の例を挙げてみたが、ごく一般的に考えてもこれだけの情報がある。

顧客情報
人事情報
経営情報
商取引情報
商品情報
案件情報
サーバー管理情報
ネットワーク情報
財務情報
業務計画情報
スタッフの個人情報
仕様書（商品、システム、ソフトウエアその他）
設計書（商品、システム、ソフトウエアその他）

セキュリティを守るためには、列挙した情報すべてに適切なアクセスコントロール、適切な技術的対策、適切な管理運用ルールが必要になる。ということは、すべての情報のリスクを分析して、リスクに応じたアクセスコントロール、技術的対策、管理運用ルールを作成導入しなければならないのだ。つまり、すべての情報に関しての詳細なリスク分析を行なう必要がある。またはそれが理想なのである。
しかし、すべての情報に対してリスク分析を行なうことは、当然ものすごい量の作業が必要になることはすぐおわかりだろう。
また、情報は次々に生み出されている。組織や企業はそもそも情報を生み出し、処理し続けるものだ。続々と生み出される新しい情報に対し、いちいちものすごい作業量を割いてセキュリティ対策をするというのは、どうみても本業に差し障りが出るはずだ（笑）。
セキュリティポリシーを作るのは、その手間や作業を軽減するためでもある。また、セキュリティ対策を考えるときも、同じ目的のためにいろいろな選択肢が存在する場合がある。ある情報を守るためにアクセスコントロールを強化すれば、究極は管理運用のルールが必要ではなくなる、というようなことだ。また、管理運用ルールでどこまでカバーするかによっては、技術的対策がほとんど必要ではなくなる場合もあるだろう。実際に導入する対策を決めるには、それらの対策案を並べて、どの対策をどこまでの範囲で実施するか（実施しないのか）、を決めなければならない。
そして、セキュリティポリシーが無ければ、いちいち分析し、その情報に最適な対策（あるいは複数の対策の組み合わせ）を都度都度判断しなければならないのだ。
組織のルールすべてのセキュリティ面を検討し、組織の業務のすべての局面でセキュリティを考えなければならないとすると、その手間や作業量は膨大なものになってしまうはずだ。しかしその手間を怠ると、セキュリティ面での不備により大きな痛手を被ることも有り得るというわけだ。そればかりか、都度都度対策を考えることで、もし対策のレベルにギャップがあったり、同じ対策方法をある場合は導入したが、ある場合は導入しなかったりすると、結果として穴が生まれてしまったりすることもありえる。
逆に、実際的かつ効果的なセキュリティポリシーを作った組織や企業は、セキュリティ上の煩雑な対応に都度都度考え悩みながら追われるようなこともなく、すっきりとスマートに対処できるようになる。また、ポリシー作成の過程でいったんルールや業務プロセスすべてをセキュリティ面からチェックしているので、新たな事態が生じたり、新しい業務プロセスが必要となったりしたとしても、必要最小限の手間で対処できるはずだ。
つまり、セキュリティポリシーを作成すれば、たんにリスクを低減するだけでなく、セキュリティ上のTCOを低減する効果もあるわけだ。投入するリソースの低減という意味では、無駄なセキュリティ対策を導入しないで済む効果もある。
継続的に見れば（セキュリティ効果はもちろんだが）経済的な効果も大きいと言えるだろう。

しかしもちろん、経済的な効果だけを見れば、そもそもセキュリティポリシーを作ったり、セキュリティ対策を導入したりしなければ、その分の費用はかからないわけだ。今まで無かったものをわざわざ高いお金払って入れなくても、今までどおりにやっていればなんとか無事に過ごせるのではないだろうか？例えハッカーにWebページを書き換えられたからといって、何が起こるわけでもないし、少々評判が悪くなるだけだ。それならいっそ今までどおり「何もしない」というのでも問題は無いのではないだろうか？・・・
そう思われる方もいらっしゃるかも知れない。
しかし、組織や企業を取り巻く環境は、決して今までどおりでは無いのである。
大きく異なる点はIT（Information Technorogy＝情報技術）である。先の10年でこぞってIT化を進めた結果、今ではどの組織でも社員は自分のコンピューターで仕事をするようになっているし、インターネットメールはすでに欠かすことのできない通信手段になりつつあるし、基幹システムですら社員一人一人がブラウザを使って手軽にアクセスできるようになっている。今後は携帯電話がどんどん高機能になり、既存のインフラであるインターネットとより密接に繋がるようになっていくだろうし、電話（音声によるコミュニケーション）もインターネットやIP上で発展していくだろう。インターネットやIPを使った新しい技術は、その低価格さなどを主な理由として、今後もどんどん導入されていくはずだ。
つまり、組織や企業が行なう膨大な情報処理は、今後ますます多様化し、複雑化していくのだ。媒体も通信経路も使い方もデータの形態も、どんどん多様化し、複雑化していくというわけだ。
そういう環境での情報処理が、今までと同じで良いはずがない。
先の10年のさらにその前の30年間、組織や企業での情報処理は限られたインフラ（紙）の上で行なわれていた。そしてそのインフラの上での情報処理が長い期間続いたため、直接ルール作りに関わりがある人でなくても、漠然とどういう取扱をすればいいのか想像できるようになっていたし、ルールにしてもどこも大きな違いは無く、ある意味洗練されていたと言える。
しかし、現在は混沌とした時代に否応無く突入してしまっている。
インフラにしても媒体にしても恐ろしいほどに多様化してしまい、そのワリに携わるスタッフがそれについていけていない。紙の書類をどう取り扱うべきか、は想像できても、電子データをどう取り扱うべきか、を正確に把握できる人はそうは居ないだろう。それでもまだネットワークが普及する前は、紙の書類のルールの延長線上で考えることができたが、今はどこにでもどんなネットワークにでも手軽に簡単に接続できてしまうため、情報の流通経路や漏洩する可能性がある経路を考えても恐ろしくいろいろなヴァリエーションが存在する。
そういう状況に対処するためには、スタッフ個々人が局面ごとに分析＋判断しているのでは効率が悪すぎる。そればかりでなく、すべてのスタッフがセキュリティ上好ましい判断を下せるわけはないので、危険でもある。仮に現時点での環境に応じて判断を下せるようにスタッフを教育したとしても、驚くほど頻繁に起こる画期的な技術革新が現時点での判断基準をひっくり返してしまう可能性もある。
そういう環境に対処していくために、セキュリティポリシーと、そのポリシーに沿って作られるスタンダード（ガイドライン）、プロシージャ（手順書）が必要なのである。さらに言えば、新たな事態に応じてルールを改訂していく仕組みも必要なのである。
そして、逆に言えばセキュリティポリシーを作ることは、ポリシーそのものを改訂しつづける仕組みの整備と、改訂のためのガイドラインの作成に繋がるのだ。直面するリスクにどう対処したらいいのか右往左往することなく、業務を滞りなく進めるために、いまやポリシーとその関連体系、そしてポリシーを維持しつづける仕組み、改訂しつづける仕組みは必須である。

そして、環境だけでなく組織や企業が果たすべき責任も変わってきている。というよりも、組織や企業が想定すべき危機が変わってきている、というべきだろうか。
今までであれば、ある組織に対して個人がクレームをつけようと考えた場合、

組織の苦情窓口に訴える
マスコミに訴える
裁判沙汰に訴える

というのが主な手段だった。しかし、個人がインターネットという強力なメディアを手にした結果、ただたんにホームページに情報を載せてメジャーな掲示板などに情報を流せば、それだけでアクセスは爆発的に増えて果ては新聞などのメディアにも紹介されてしまう。それどころか新聞や雑誌、そしてテレビなどの既存メディアは、いまやインターネットを主要なニュースソースの一つにしている状況である。ちょいとスキャンダラスなネタを上手に宣伝すれば、それだけで一気に火がついてしまい、ネタの対象となった組織は公的な対応を余儀なくされることになる。
となると組織や企業は、あからさまに消費者、ユーザーの不利益になることはできなくなるし（もちろんそんなことはしていないと思うが（笑））、不利益になることをしていなかったとしても攻撃されてしまうかもしれない。ユーザーがクレームサイトを立ち上げたり、掲示板にクレームを書き込んだりするとき、よほどはっきりとした証拠（苦情窓口がそのユーザーを罵倒した音声データとか）が無いと説得力は無いと思うのが普通だ。だが、インターネットで情報を狩猟している人々は基本的にゴシップ好きなので、話題がスキャンダラスであれば信憑性についてはあまり頓着しなかったりもする。もっともらしいネタを揃えてあれば、それだけでその情報を爆発的に広めてしまうのだ。
結果として風評被害を招くことも想定される。
その意味ではインターネット以前とは大きく異なり、いまやユーザーはものすごい力を持っているのだ。
そういう恐ろしい時代に、組織や企業はどういう対処を考えていれば良いのだろうか？
まったくベーシックなことになってしまうが、基本は出来る限り正確な情報を出来る限り漏らさず把握しているしか無い。仮に苦情が出たとしても、その苦情がどこまで正確なものなのか、苦情を受けたスタッフの応対はどうだったのか、などの情報が必要となる。苦情の原因について調べるにも情報が必要だし、苦情に対し誠実に応対するためにも情報が必要だ。また、誹謗中傷で攻撃されたとしても、それを否定するには正確な情報が必要だ。
ということは、情報が正しく、捏造や矮小化されずに責任者にまで伝わっていないと、責任者としても否定するにも否定できないし、その状態で釈明したらボロが出る。そもそも情報が伝わっていないと話にならないし、伝わったとしても加工が入り込めないような情報伝達の仕組みにしておかなければならない。そのためには事故報告ガイダンスが必要だろうし、事故報告先連絡網、事故報告記録手順などが必要となる。
そして、そういう手順やガイダンスを定めなさい、という要件を定義しているのがセキュリティポリシーなのである。
また、把握した情報をもとにどのように広報するのか、ユーザーからの苦情にはどういうふうに応対するのか、それについてもガイドラインが必要となるだろう。そういうガイドラインを定めなさい、と規定しているのもセキュリティポリシーである。
そして、苦情の原因を調べて、事実を明らかにする必要もあるだろう。となると苦情の原因を調べる体制を急遽作らなければならないが、その体制に関する要件を規定しているのもセキュリティポリシーになる。
つまり、業務遂行上支障となるような事態が生じたときにどうすべきか、ということを規定しているのがセキュリティポリシーであり、その事態に備えてどういうガイドラインやルールを用意しておくべきか、どういう仕組みを準備しておくべきか、ということを規定しているものがセキュリティポリシーなのだ。それは業務に支障となるような事態の原因が不正アクセスであろうが無かろうが関係無い。セキュリティポリシーの究極の目標は「業務の安全・安定的な遂行」であるわけで、その意味では組織のすべてのルールや運用・運営に関わっているものなのだ。
もちろん、障害時やら事故発生時のみ（あるいはそれに関わるルールにのみ）、セキュリティポリシーが関係しているわけではない。平時に適用されるルールにもリスクは存在するし、リスクが存在する限りセキュリティポリシーの影響を受けざるを得ない。
例えば、物理的な建物の出入りルールを見てみよう。

オフィスビル各階出入り口は自動的に鍵がかかっている。社員はカード鍵を使って出入りすること。
営業日の夜10時以降は入り口をオフィスビル各階ごとに一つに限定する。他の入り口は閉鎖する。
営業日の朝8時よりすべての入り口をオープンする。ただしカード鍵での出入りとなる。
土曜日は営業日と同じ扱いとする
日曜祝日は営業日の夜10時～朝8時までと同じ扱いとする。ただし、ビルへの出入りは管理通用口からのみとする。日曜祝日の夜10時～朝8時までも営業日の夜10時～朝8時までと同じとする。

このルールが管理しているリスクは、「物理的な建物侵入者」に関わるリスクである。したがってこのルールが存在しなかったら、人の出入りは管理されないことになってしまう。また、上記のルールでは、例えば協力会社のスタッフの出入りや、お客さんの出入りや、掃除や配達などの人の出入りについては言及されていない。ということは、そういう人に成りすまして入り込む、というリスクが放置されたままであると言えるわけだ。
こうしたことを踏まえると、セキュリティポリシーでは、

社員や協力会社社員の出入りは管理・保護された出入り口からのみ行なうこととする
掃除や配達、集荷などの出入りは同じく保護された出入り口からのみ行なうこととする

などと書き、「実際にオフィスビルに出入りする人」の中で漏れが無いように要件定義しておく必要がある。
物理的な部分のルールに存在するリスクだからといって、ITセキュリティに無縁であるわけでもない。例えば、上記の出入り口のコントロールをIT技術の上で設定するという方法で実現していたとすると、ITのセキュリティが物理的なセキュリティを左右することになる。実際、世の中こぞって安価なIP技術インフラの導入を進めているということもあり、ほんとうにそういうことがあっても不思議ではない。
また逆に、物理的なセキュリティ管理がいい加減だったせいで、ITインフラの中核に入り込むための重要な情報へのアクセスを許してしまったりするかも知れない。
ITがさまざまな局面に深く入り込んでいる現在、どのようなリスクを管理する場合でもITを意識せざるを得ないようになりつつあるのだ。

現代の組織や企業のルールを考えるうえで、情報セキュリティポリシーは欠かせないし、また逆に、情報セキュリティポリシー無くして、現代の組織運営は考えられないのではないだろうか。それはリスクの低減というだけでなく、結果として組織運営の効率化にも繋がるし、セキュリティ面だけでなく経済的な効果も期待できるのだ。さらには社会的責任に対する眼が厳しくなっている現代において、顧客からの情報を集めてそれを安全に管理することはその責任を果たすという意味でも重要になる。情報セキュリティポリシーによって、さまざまな実質的な効果が期待できるのだ。そういう視点を持って、情報セキュリティポリシーを作っていって欲しい。

●Security INDEXへ

★TOP INDEXへ