Title 9. 情 報 セキュリティ : 情 報 セキュリティ マネジメントシステム (ISMS)に 関 する 一 考 察 Author(s) 辻 本, 篤 Citation URL 聖 学 院 大 学 図 書 館 情 報 学 研 究, 第 6 号 寄 附 講 座 インター ネット 時 代 の 情 報 資 源 活 用 特 集 号, 2011.3 : 87-95 http://serve.seigakuin-univ.ac.jp/reps/modules/xoonips/de tail.php?item_id=3348 Rights 聖 学 院 学 術 情 報 発 信 システム : SERVE SEigakuin Repository for academic archive
9 情 報 セキュリティ 9 情 報 セキュリティ - 情 報 セキュリティ マネジメントシステム(ISMS)に 関 する 一 考 察 - 辻 本 篤 本 稿 は 組 織 の 情 報 セキュリティ を 支 える 情 報 セキュリティ マネジ メントシステム (Information Security Management System :ISMS)を 検 討 するものである このシステムの 基 本 コンセプトは 組 織 の 情 報 資 産 を 機 密 性 ( 漏 洩 させない) 完 全 性 ( 改 ざんさせない) 可 用 性 ( 故 障 させない) という3 点 に 集 約 される 以 下 その 導 入 の 経 緯 と 特 徴 を 解 説 し 検 討 しなければ ならない 基 本 的 な 課 題 を 整 理 していく 1.はじめに 情 報 という 組 織 資 源 組 織 の 運 営 において4 大 資 源 として 管 理 されてきたは 人 物 金 情 報 特 に90 年 代 以 降 情 報 に 対 する 扱 いに 注 目 が 集 まっている 世 界 中 を 接 続 す る 高 速 情 報 ネットワーク 網 であるインターネットの 誕 生 は 急 速 な 情 報 化 社 会 へ の 変 貌 の 一 つとなった これまで 限 られた 人 のみが 使 用 していたコンピュー タが 組 織 業 務 の 中 心 となり また 一 般 家 庭 への 普 及 高 性 能 化 大 容 量 化 も 実 現 した しかし 同 時 に 大 きな 社 会 問 題 も 産 み 落 とすこととなった 簡 単 に 大 量 の 情 報 を 扱 える 状 況 は 情 報 の 漏 えい 改 ざん 破 壊 など 世 の 中 を 震 撼 させる 新 たな 脅 威 を 生 みだし 組 織 の 存 続 に 関 わる 深 刻 な 問 題 も 散 見 され るようになったのである 情 報 に 対 する 脅 威 は 未 知 であり 現 在 のところ 絶 える 気 配 を 見 せない 組 織 や 国 民 を 守 るための 法 律 も 常 に 後 手 後 手 にまわらざ るをえない これは 情 報 システムの 技 術 進 化 が 日 進 月 歩 で 進 んでいくという 背 景 があり システムを 保 全 するセキュリティ 技 術 も 同 様 である そのため 必 然 的 に それに 関 わるリスク 要 因 も 幾 何 級 数 的 に 増 加 してゆくと 考 えられる 87
特 集 : 寄 付 講 座 インターネット 時 代 の 情 報 資 源 活 用 2. 情 報 セキュリティ マネジメントシステム(Information Security Management System:ISMS)の 必 要 性 2.1 多 発 する 情 報 漏 えい 個 人 情 報 保 護 法 ( 注 1)が 施 行 された2005 年 4 月 以 降 個 人 情 報 の 漏 えい 事 件 がメディアをにぎわすようになった 特 に 民 間 部 門 では 顧 客 情 報 など 重 要 情 報 の 漏 えい 事 件 が 多 発 している 2006 年 に 入 り ファイル 交 換 ソフト ウィニー を 介 した 情 報 漏 洩 が 多 発 した たとえば 2006 年 には 海 上 自 衛 隊 の 機 密 情 報 の 漏 えいが 明 らかとなった 防 衛 庁 は 海 上 自 衛 隊 の 護 衛 艦 の 訓 練 関 係 の 文 書 な どの 情 報 が 含 まれる 多 数 の 資 料 が ファイル 交 換 ソフト Winny を 通 じて 流 出 したとして 調 査 を 開 始 したことを 明 らかにしている i 防 衛 庁 によると 流 出 した 資 料 は 海 上 自 衛 隊 の 佐 世 保 基 地 に 配 備 されている 護 衛 艦 あさゆき の 電 信 室 所 属 の 通 信 員 ( 曹 長 )が 所 有 していたと 思 われるファイルで 同 通 信 員 の 私 用 PCがウイルスに 感 染 し Winnyを 通 じて 流 出 したと 報 告 されている 流 出 したデータには 自 衛 艦 のコールサインの 一 覧 など 情 報 の 重 要 度 で 秘 とされる 文 書 や 隊 員 の 名 簿 等 の 個 人 情 報 が 含 まれているという また さら に 重 要 度 の 高 い 極 秘 とされる 暗 号 書 や 乱 数 表 などについて 文 書 名 の 一 覧 表 も 流 出 したが 文 書 そのものは 流 出 していないと 報 告 されている また 民 間 企 業 でも 顧 客 情 報 の 大 規 模 な 漏 えいが 発 生 している 最 近 (2011 年 ) では ソニー グループの 大 規 模 な 顧 客 情 報 の 漏 えい 事 件 が 大 きな 衝 撃 を 与 え た ii ソニー ピクチャーズが 約 100 万 件 ミュージックレコーが75000 件 ミ ュージッククーポン350 万 件 これは クラッカー 集 団 LulzSecによるものとさ れている グループとして1 億 261 万 3000 件 の 漏 洩 として 報 告 されている ソニ ーグループの 事 件 は 個 人 情 報 保 護 法 施 行 以 降 事 件 として 発 覚 している 中 で は 最 も 大 規 模 は 事 故 として 扱 われるようになった 2.2 ISMS 適 合 性 評 価 制 度 の 創 設 我 が 国 では 情 報 処 理 サービス 業 のコンピュータシステムが 十 分 な 安 全 対 策 を 88
9 情 報 セキュリティ 実 施 しているかどうかを 認 定 する 制 度 として 情 報 システム 安 全 対 策 実 施 事 業 所 認 定 制 度 があった この 制 度 では 集 中 管 理 されていた 情 報 システムの 施 設 面 や 設 備 等 の 物 理 的 な 対 策 に 重 点 がおかれていた しかしこれら 物 的 技 術 的 側 面 への 対 応 策 だけでは 不 十 分 で 人 が 絡 むセキュリティ 対 策 つまり 人 的 セキュリティを 含 む 組 織 全 体 のマネジメントを 確 立 する 必 要 性 が 認 識 される ようになった ( 旧 ) 経 済 産 業 省 では 情 報 セキュリティ 管 理 に 関 する 国 際 的 なスタンダードの 導 入 および 情 報 処 理 サービス 業 情 報 システム 安 全 対 策 実 施 事 業 所 認 定 制 度 の 改 革 ( 平 成 12 年 (2000)7 月 31 日 ) を 発 表 し 従 来 の 情 報 シ ステム 安 全 対 策 実 施 事 業 所 認 定 制 度 を 平 成 13 年 (2001)3 月 31 日 をもって 廃 止 することを 決 定 した iii この 制 度 に 代 わるものとして ISMS (Information Security Management System:ISMS( 情 報 セキュリティ マネジメントシステ ム))が 登 場 したのである 技 術 的 セキュリティのほかに 人 間 系 の 運 用 管 理 面 をバランス 良 く 取 り 込 み 新 しい 制 度 としてISMSという 適 合 性 評 価 制 度 を 創 設 することとなった 2.3 ISMSとは ISMSとは 情 報 セキュリティの 個 別 の 問 題 毎 の 技 術 対 策 の 他 に 組 織 のマ ネジメントとして 自 らのリスクアセスメントにより 必 要 なセキュリティレベ ルを 決 め プランを 持 ち 資 源 配 分 して システムを 運 用 するもの iv とされ ている この 制 度 の 運 用 は 組 織 の 業 態 によって 異 なるが いずれにしても 組 織 が 保 護 すべき 情 報 資 産 に 関 して 機 密 性 完 全 性 可 用 性 を 効 率 良 く 維 持 し 問 題 や 課 題 を 発 見 抽 出 した 上 で 継 続 的 に 改 善 のプロセスを 進 んでゆくということが 根 本 理 念 となっている 89
特 集 : 寄 付 講 座 インターネット 時 代 の 情 報 資 源 活 用 図 1 情 報 の 価 値 に 対 する3つの 観 点 ( 静 岡 大 学 ISMS 研 究 会 (2007) v,p.14.より) 組 織 が 保 護 すべき 情 報 資 産 について 機 密 性 (Confidentiality) 完 全 性 (Integrity) 可 用 性 (Availability)をバランス 良 く 維 持 し 改 善 することが 情 報 セキュリティマネジメントシステム(ISMS)の 基 本 コンセプトとされる (ISO/IEC 13335-1:2004より 引 用 ) vi 機 密 性 (Confidentiality)とは 認 可 されていない 個 人 エンティティ( 団 体 等 ) 又 はプロセスに 対 して 情 報 を 使 用 不 可 又 は 非 公 開 にする 特 性 であり 特 定 の 人 間 だけにアクセス 権 を 与 えることを 基 本 前 提 にしている 完 全 性 (Integrity)とは 資 産 の 正 確 さ 及 び 完 全 さを 保 護 する 特 性 であり 情 報 の 改 ざ んや 破 壊 を 防 止 することが 基 本 前 提 になっており 可 用 性 (Availability) とは 認 可 されたエンティティ( 団 体 等 )が 要 求 したときに アクセス 及 び 使 用 が 可 能 である 特 性 であり 利 用 可 能 性 を 担 保 するものと 理 解 される ISMSの 有 効 性 を 継 続 的 に 改 善 していくためには 経 営 管 理 論 で 一 般 的 に 述 べられ そ の 重 要 性 が 重 ねて 指 摘 されている PDCAサイクルを 採 用 することが 前 提 となる PDCAサイクルとは 経 営 行 動 におけるPlan( 計 画 策 定 ),Do( 導 入 運 用 ),Check 90
9 情 報 セキュリティ ( 見 直 し)を 循 環 的 に 繰 り 返 し 実 践 することであり それぞれの 頭 文 字 をとっ て PDCAサイクル と 呼 ばれている 特 に 防 災 や 減 災 の 分 野 の 扱 うリスクマネ ジメントの 分 野 では 近 年 その 重 要 度 が 再 評 価 されている ISMSとの 関 係 で は 以 下 の 実 践 が 重 要 となると 考 えられる 1.Plan : 自 社 の 情 報 資 産 を 精 査 して 情 報 セキュリティ 対 策 の 計 画 と 目 標 を 決 定 する 2.Do : 計 画 目 標 を 基 準 に 対 策 の 導 入 と 運 用 を 行 う 3.Check : Doで 実 践 した 対 策 の 結 果 を 監 視 して 適 宜 積 極 的 に 見 直 しを 行 う 4.Act : 現 場 の 情 報 セキュリティ 担 当 者 と 経 営 陣 で 改 善 処 置 を 行 う このPDCAサイクルを 慎 重 に 繰 り 返 していくことによって 当 該 組 織 の 情 報 セキ ュリティレベルの 向 上 を 検 討 していくのである( 図 2 参 照 ) 図 2 情 報 セキュリティ 対 策 におけるPDCAサイクルのイメージ ( 情 報 セキュリティマネジメントシステム(ISMS)とは (http://www.isms.jipdec.jp/isms/index.html)より) 91
特 集 : 寄 付 講 座 インターネット 時 代 の 情 報 資 源 活 用 3.ISMS 導 入 運 用 に 関 する 考 察 ISMSの 導 入 運 用 に 関 しては そのメリットとデメリットがある vii これら を 慎 重 に 検 討 しなければならない それらのバランスを 総 合 的 に 検 証 して 仮 にデメリットが 際 立 つのであれば 場 合 によっては 運 用 を 取 りやめることも 含 めて ISMSを 組 織 制 度 としてどのように 位 置 づけ 認 識 していくかを 慎 重 に 検 討 する 必 要 がある 現 時 点 で 報 告 されているメリット viii は まず 制 度 を 導 入 することによる 企 業 イメージの 向 上 同 業 他 社 との 競 争 に 打 ち 勝 つこと また 組 織 を 安 定 的 に 経 営 することである 営 業 上 のイメージ 向 上 知 名 度 の 向 上 顧 客 満 足 の 向 上 信 頼 性 向 上 競 争 優 位 性 の 維 持 総 合 的 な 経 営 の 安 定 化 これらが 報 告 されてい る 特 に 顧 客 情 報 がそのまま 経 営 資 源 として 運 用 される 業 態 の 企 業 は 情 報 を どの 程 度 安 全 に 運 用 しているかが 決 め 手 になるので これらのメリットの 獲 得 は 重 要 である また 情 報 資 産 に 対 するリスク( 潜 在 するリスク 顕 在 するリス ク 双 方 において)は 情 報 セキュリティの 向 上 によって 低 減 させる 効 果 もあ るとされる また 情 報 資 産 の 安 全 運 用 という 大 命 題 のほかに この 制 度 を 導 入 することによって 副 次 的 効 果 も 報 告 されている 社 員 の 意 識 改 革 につながり 組 織 的 に 法 令 順 守 の 精 神 が 形 成 され 企 業 倫 理 の 向 上 にも 役 立 つという これは ISMS 制 度 の 導 入 だけに 見 られる 傾 向 ではない ISMSはISO/IEC 制 度 のひとつで ある ISOシリーズとして ISO9000シリーズ( 品 質 管 理 に 関 するもの) ISO14000 シリーズ( 環 境 マネジメントに 関 するもの)があるが これらを 導 入 した 企 業 からも 社 員 の 意 識 改 革 に 役 立 った 企 業 倫 理 の 向 上 に 役 立 った という 報 告 がある いわば 副 次 的 効 果 である それまでの 業 務 プロセスが 刷 新 される 際 に 見 落 としていた 改 善 点 問 題 などが 浮 き 彫 りになり より 良 い 業 務 環 境 の 形 成 につながることが 推 察 される このことにより 社 員 の 意 識 改 革 が 促 進 され その 意 識 が 集 積 したものが 新 たな 企 業 倫 理 として 生 成 され 組 織 に 定 着 するも のと 考 えられる しかしこのISMS 制 度 はメリットだけではなく デメリット ix も 慎 重 にみてい 92
9 情 報 セキュリティ かなければならない たとえば 業 務 量 が 増 加 する 問 題 である ISMSの 構 築 運 用 のためには 文 書 化 が 義 務 付 けられているため 利 用 者 にとっては 業 務 量 が 増 加 すると 報 告 されている(ただし 適 切 なフォーマットを 作 成 することで セキュリティマネジメントは 向 上 するとされている) また 新 しい 業 務 フロー も 発 生 する ISMSの 要 求 事 項 に 合 わせて 業 務 フローが 追 加 修 正 しなければな らないことがあり そのときは 一 時 的 に 作 業 効 率 が 落 ちると 報 告 されている そのため 業 務 形 態 に 対 応 したセキュリティ 管 理 策 を 構 築 する 必 要 があると 指 摘 されている ISO14000シリーズを 導 入 運 用 する 企 業 からは 外 部 監 査 を 受 ける 前 は 制 度 を 適 切 に 運 用 しているという 結 果 を 文 書 で 示 す 必 要 があるた め 数 日 間 徹 夜 になることがあり 業 務 負 担 としては 非 常 に 大 きい という 意 見 も 出 ている x 日 産 自 動 車 が 自 身 の 再 生 を 図 るために リバイバルプランを 発 表 した これは1999 年 に 日 産 自 動 車 のカルロス ゴーンCOO(Chief Executive Officer: 最 高 経 営 責 任 者 )( 当 時 )が 発 表 した 同 社 の 経 営 再 建 計 画 であった このとき 取 引 業 者 数 は 従 来 の 半 分 にすると 宣 言 されたが その 選 定 のひとつの 基 準 が 取 引 業 者 として ISO9000や14000シリーズを 取 得 しているか 否 かとい うものであった ISMSは 情 報 資 産 に 関 する 組 織 システムである 特 に 情 報 サー ビスを 提 供 する 親 会 社 は データの 整 理 分 析 等 のほとんどを 子 会 社 に 任 せて いることが 多 いので 親 会 社 よりも 子 会 社 の 方 が 情 報 セキュリティーを 守 っ ていく 責 任 は 重 い したがって 親 会 社 との 取 引 関 係 を 引 き 続 き 継 続 していくた めには 子 会 社 はISMS 制 度 を 積 極 的 に 導 入 し 健 全 に 運 用 していることが 強 く 求 められると 考 えられる 4.まとめ 現 時 点 では ISMSの 導 入 運 用 に 関 しては メリットだけではなく デメリ ットの 方 も 慎 重 に 検 討 する 必 要 がある 特 にデメリットは 組 織 全 体 で 時 間 をか けて 検 討 していかなければならない 新 たな 業 務 負 担 やコスト 負 担 は 特 に 中 小 企 業 においては 深 刻 な 問 題 としてのしかかる システムの 導 入 による 企 業 イ 93
特 集 : 寄 付 講 座 インターネット 時 代 の 情 報 資 源 活 用 メージの 向 上 取 引 慣 行 の 継 続 労 働 意 識 の 向 上 これらの 期 待 される 効 果 が 実 現 しても 組 織 としての 負 担 があまりにも 大 きい 場 合 システムの 導 入 その ものを 再 検 討 する 必 要 があると 考 える 注 ) 1. 本 人 の 意 図 しない 個 人 情 報 の 不 正 な 流 用 や 個 人 情 報 を 扱 う 事 業 者 がずさんなデー タ 管 理 をしないように 一 定 数 以 上 の 個 人 情 報 を 取 り 扱 う 事 業 者 を 対 象 に 義 務 を 課 す 法 律 のこと ( 個 人 情 報 保 護 法 個 人 情 報 の 保 護 に 関 する 法 律 ( @IT,http://www.atmarkit.co.jp/aig/02security/protectionofpersonaldata.htm l))(2009 年 11 月 20 日 参 照 ) 詳 細 は 個 人 情 報 の 保 護 に 関 する 法 律 ( 首 相 官 邸, http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/)を 参 照 2. 下 記 URLもしくは 文 献 から 引 用 する 際 文 意 を 損 なわれない 程 度 に 適 宜 表 現 を 変 えた 箇 所 がある 引 用 URL i 海 上 自 衛 隊 の 秘 情 報 がWinnyで 流 出 防 衛 庁 が 調 査 を 開 始 INTERNET Watch, http://internet.watch.impress.co.jp/cda/news/2006/02/23/10993.html(2011 年 5 月 5 日 参 照 ) ii 個 人 情 報 漏 洩,http://ja.wikipedia.org/wiki/ 個 人 情 報 漏 洩 (2011 年 5 月 5 日 参 照 ) iii 情 報 処 理 サービス 業 情 報 システム 安 全 対 策 実 施 事 業 所 認 定 制 度 経 済 産 業 省, http://www.meti.go.jp/policy/netsecurity/nintei.htm(2011 年 5 月 5 日 参 照 ) iv ISMS 適 合 性 評 価 制 度 財 団 法 人 日 本 情 報 処 理 開 発 協 会 (JIPDEC) 情 報 マネジメ ントシステム 推 進 センター,http://www.isms.jipdec.jp/isms.html(2009 年 11 月 15 日 ) v 静 岡 大 学 ISMS 研 究 会 実 践 ISMS 講 座 静 岡 学 術 出 版 事 業 部,2007 vi 前 掲 4, 情 報 セキュリティマネジメントシステム(ISMS)とは http://www.isms.jipdec.jp/isms/index.html(2011 年 6 月 5 日 参 照 ) 94
9 情 報 セキュリティ vii ISMS Security Akademia,http://akademeia.info/index.php?ISMS(2010 年 12 月 3 日 参 照 ) viii 前 掲 6, ISMS 導 入 のメリット デメリット,http://akademeia.info/index.php?ISMS (2010 年 12 月 3 日 参 照 ) ix 前 掲 6, ISMS 導 入 のメリット デメリット,http://akademeia.info/index.php?ISMS (2010 年 12 月 3 日 参 照 ) x これは 筆 者 の 聞 き 取 り 調 査 によるものである もちろん 同 制 度 を 導 入 運 用 するす べての 組 織 がこのような 状 況 を 抱 えていることを 示 すものではない 参 考 文 献 日 本 能 率 協 会 審 査 登 録 センター 審 査 委 員 が 教 えるISO27001 実 践 導 入 マニュアル 日 本 能 率 協 会 マネジメントセンター,2006. 95