Enterprise Watch
連載バックナンバー
2007年
2006年
2005年
2004年
2003年

セキュリティ責任者を任命せよ!

第二回・実情にあわせたセキュリティポリシーを作ろう


 「問題がある部分だけをカバーするのではなく、全社的なセキュリティ対策をとるためには、セキュリティ責任者を置く必要がある」-セキュリティコンサルタントはこう口をそろえる。では、セキュリティ責任者にはどんな人物がふさわしいのだろうか。昨今の情報漏えい事件が、サーバー内部のデータベースにアクセスして起こったり、パソコンを経由して起こったりするケースが多いことから、IT部門のスタッフが適任と見られることも多い。しかし、実際には、「ITに関する知識よりも、もっと必要なものがある」という。セキュリティ責任者に求められる能力とはどんなものなのか。そして、セキュリティ責任者とはどんな仕事をしているのか。今回は、このテーマについて触れる。


IT部門だけでなく「法律や人事にまで踏み込んだ権限」を持つ人こそ適任

インターネットセキュリティシステムズのプロフェッショナルサービス部、山口毅治シニアディレクター
 セキュリティ責任者とは、どんな資質をもった人が就任すべきなのだろうか。

 インターネットセキュリティシステムズのプロフェッショナルサービス部、山口毅治シニアディレクターは、次のように説明する。

 「リスクマネージメントができること。セキュリティ責任者というと、情報システムのひとつと考えられがちだが、実はセキュリティとはCSRの一部としてとらえるべきものではないか」

 CSRとは、Corporate Social Responsibilityの略で、「企業の社会的責任」の意。セキュリティというよりは、企業の環境対策として活用されるものだが、山口シニアディレクターは「セキュリティこそ、CSRのひとつとしてとらえるべきだ」という。

 つまり、単に情報システムという観点ではなく、全社的にセキュリティ対策をとっていくという意識をもつことが企業側で必要だと指摘しているわけだ。

 エム・ファクトリーの執行役員 プロフェッショナルサービス本部、ビト・モリナロ本部長は、「米国では、すべての方針を決定する権限をもっている人がセキュリティ責任者の適任者だと認識されている」と話す。

 「米国では、ITにとどまらず、(セキュリティにかかわる)人事、コミュニケーション、法律、物理的な対策などのすべてを、セキュリティ責任者が対策を考えるべきだと考えられている」(モリナロ本部長)

 セキュリティ対策をCSRの一環として考え、全社的な権限をもった人物がセキュリティ責任者であるべきとなると、セキュリティ責任者を外部のスタッフに委託することは難しくなる。

 「この状況を企業側も認識し始めた」と三井物産セキュアディレクションの執行役員、櫻井真ソリューション事業部長は指摘する。

 「以前は、本業ではないセキュリティ対策は、ITの知識がある若手に任せればいいと考えられていた。しかし、最近は企業側の認識も変わりつつある。セキュリティの重要性を企業が真剣に考えるようになり、経営陣が参画して判断していく傾向になっている」


ふかん的な視点で社内の情報とリスクの分析を

エム・ファクトリーの執行役員 プロフェッショナルサービス本部、ビト・モリナロ本部長(CISSP)
 セキュリティ責任者に任命された人が、まず取り組まなければならないこととしてセキュリティコンサルタントがあげるのが、「社内にどんな情報が存在し、それぞれにどんなリスクがあるのか、分析し、評価すること」である。

 ただし、いくら権限を持った人がセキュリティ責任者に就任したとしても、全社の状況を横断的に把握するというのは簡単なことではない。

 そこで、「セキュリティ責任者がチェアマンとなり、IT部門、人事部門、法務部門など複数の部門の担当者からスタッフを出して、セキュリティコミッティ(委員会)を作るのが望ましい」(エム・ファクトリー、モリナロ本部長)とセキュリティコンサルタント側は提言する。

 各部門のスタッフが参加することで、全社的な視点で社内にどんな情報が存在し、どんなリスクがあるのかを把握しやすくなる。

 どんな情報があるのかを明確にした上で、次に行うべきなのが、その情報が流出した場合にはどんなリスクが起こるのかを把握することだ。

 ある企業のトップは、社内にどんな情報があるのかを明確にした上で、外部に漏れては困る情報とそうではないものをえり分けていった結果、「どうしても守るべき情報とは、せいぜい全情報の3割程度しかないことが明らかになった」という。社内の情報のリスク分析をしないと、必要以上に情報流出を恐れて過剰なセキュリティ対策をとったり、逆に必要な対策が全くとられず情報が流出するといった結果となってしまう。

 正しい現状の把握こそ、セキュリティ対策に必要な第一歩だといえそうだ。

 しかも、「社内にどんな情報があるのかの洗い出しは、近視眼的にとらえてはうまくいかない。自社の業務から考えて、どんな情報があるのかを明らかにした上で、それぞれの情報にまつわるリスクを洗い出して対策を決めていく必要がある」(三井物産セキュアディレクション、櫻井ソリューション事業部長)

 あくまでも社内の業務にあわせたリスク分析を行っていくことが必要になる。他社が導入した方法をそのまま応用したとしても、「その企業の業務にあっていなければ、その会社に適したセキュリティ対策をとることはできない」のだ。


リスクを把握した上でセキュリティポリシーを制定

三井物産セキュアディレクションの執行役員、櫻井真ソリューション事業部長
 その上で、「自分たちの会社にマッチするセキュリティの基準、いわゆるセキュリティポリシーを自分たちの手で作り上げていくべきだ。セキュリティポリシーを作る上での手順などについては、我々外部のセキュリティコンサルタントがアドバイスしていくことができる。しかし、我々のような外部スタッフはセキュリティポリシーを作りあげる際の手足であり、頭脳となる部分はあくまでも企業自身で作りあげていく必要がある」(インターネットセキュリティシステムズ、山口シニアディレクター)

 セキュリティポリシーの重要性は以前から指摘されてきていたものの、構築は簡単にはできないという声も多い。そこで、セキュリティ責任者、セキュリティコミッティ、そして外部のコンサルタントが一緒になって、その企業に最適なセキュリティポリシーを作り上げていくことになる。

 だが、「セキュリティポリシーにのっとって運用を始め、現状にそぐわない部分が出てくることもあるだろう。そういう場合には、責任者やコミッティが話し合って、ポリシーの見直しを行えばいい。一度で、すべて決定できると考えずに、常に見直しを行いながら、最適なセキュリティポリシーを作り上げればいい」(エム・ファクトリー、モリナロ本部長)と、一度決めたものが絶対だと思う必要はないという。

 また、企業によっては、ひとつのセキュリティポリシーを全社で共有するのが難しいケースもあるという。

 「商社のように、部門によって扱う商品が違えば、一口に情報といっても入手経路や中身がまったく違う。そういう場合は、ひとつのルールを全社で守ることは難しくなってくる」(三井物産セキュアディレクション・櫻井ソリューション事業部長)

 企業によって、どんなセキュリティポリシーを作りあげるべきか、答えは違ってくる。だからこそ、セキュリティ責任者やセキュリティコミッティが概要を決定しなければならない。

 セキュリティ対策をとるためには、それなりのコストも発生する。それだけに、対策にどの程度のコストがかけるべきか、判断できるのはその企業側だけだ。

 「セキュリティ対策にどれだけのコストが適正なのか、一般的な回答というものはあり得ない。あるとすれば、その情報が流出した時にどれだけの損害があるのかを計算し、それよりも少ないコストであれば適正額となるといえるだろう。(極端にいえば)ある企業では、適切なコストは10万円であり、別な企業では1億円が適正ということもありうる」(エム・ファクトリー、モリナロ本部長)

 そしてセキュリティコンサルタントは、「セキュリティは、責任者やコミッティに参加したメンバーだけが重要性を認識すれば十分というものではない。全社にセキュリティの重要性を認識してもらう必要がある」と口をそろえる。

 しかも、「一度だけではなく、継続的にセキュリティ対策をとっていかなければ、対策をしているとはいえない」という。

 この、継続的なセキュリティ対策とはどういうものなのか。次回は継続的な対策が必要であることの理由と、継続的にセキュリティをとるために必要な体制とはどんなものなのかを中心に紹介する。



URL
  三井物産セキュアディレクション株式会社
  http://www.mbsd.jp/
  インターネットセキュリティシステムズ株式会社
  http://www.isskk.co.jp/
  株式会社エム・ファクトリー
  http://www.mfactory.tv/

関連記事
  ・ 第一回・全社的なセキュリティ対策が急務(2005/08/10)


( 三浦 優子 )
2005/08/18 09:30

Enterprise Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.