巻 頭 対 談 松下電器産業株式会社における 情報セキュリティへの取り組みについて 特集 1 Vol. 9 松下電器産業株式会社 代表取締役会長 中村邦夫 氏 JASA会長 土居範久 氏 経済産業省インタビュー わが国の情報セキュリティ政策について ∼経済産業省の取り組み∼ ∼経済産業省の取り組み∼ 特集 2 2007年度 情報セキュリティ監査セミナー in Tokyo 基 調 講 演 REPORT ユーザ事例 ISMSとセキュリティ監査について 御用聞きからパートナーへ 資格取得の必要性を痛感し、連絡会を発足 s教育事業者連絡会ISEPA 情報セキュリティの強化に向け 人材育成、資格取得を積極的に推進 s富士通株式会社 解説 監査手法/技術 情報セキュリティ対策ベンチマーク活用集と情報セキュリティ監査 主席監査人 原田要之助の海外レポート 第4回 Convergence(統合化)が進む 企業のセキュリティ対策 sBookReview s情報セキュリティ監査Q&A sInformation Security Eye Vol.9 CONTENTS 巻頭 対談 松下電器産業株式会社における 情報セキュリティへの取り組みについて 対談 特集 1 2 松下電器産業株式会社 代表取締役会長 中村邦夫氏 特定非営利活動法人 日本セキュリティ監査協会会長 中央大学 教授 土居範久氏 わが国の情報セキュリティ政策について ∼経済産業省の取り組み∼ 5 経済産業省 商務情報政策局 情報セキュリティ政策室 室長 三角育生氏 特集 2 2007年度情報セキュリティ監査セミナーin Tokyo 基調講演 ISMSとセキュリティ監査について 8 AEXIS Security Consultants社 Dr.Angelika Plate氏 海外レポートコラム 連載 10 資料 主席監査人 原田要之助の海外レポート第4回 重要法令 Convergence(統合化)が進む企業のセキュリティ対策 (株)情報通信総合研究所 原田要之助氏 監査手法/技術 Information 独立行政法人情報処理推進機構(IPA) 菅野泰子氏 22 23 ブックレビュー 12 情報セキュリティ対策ベンチマーク活用集 解説 と情報セキュリティ監査 21 主任監査人が お勧めする 内部監査でお悩みの方への参考書 s情報セキュリティ概論 s情報セキュリティ監査公式ガイドブック お知らせ R E P O R T ユーザ事例 14 御用聞きからパートナーへ 資格取得の必要性を痛感し、連絡会を発足 教育事業者連絡会ISEPA R E P O R T 16 情報セキュリティの強化に向け 人材育成、資格取得を積極的に推進 富士通株式会社 西見俊彦氏 保証型情報セキュリティ監査Q&A Security Eyeが無料Webマガジンに! 経済活動の中心的位置に情報システムが組み込 まれた情報社会においては、情報セキュリティ 対策は企業の社会的責任として、また経営的な 視点から実施するべき項目です。そこで、今号 では経済産業省・情報セキュリティ政策室の三 角育生室長に経済産業省としての情報セキュリティ政策とその 中での情報セキュリティ監査制度の位置づけについてのお話を お聞きするとともに、民間企業として経営的な視点から先導的 に情報セキュリティ対策に取り組まれている松下電器産業株式 会社の中村邦夫会長へ、情報セキュリティ対策の必要性と情報 セキュリティ監査の有効性についてのお話をお聞きすることに しました。 普及促進部会 WG1 リーダ 中村 達 今号の テーマ 与儀大輔氏 ユーザ事例 24 18 ※JASAとは特定非営利活動法人 日本セキュリティ監査協会(Japan Information Security Audit Association)の略です。 ※本誌掲載記事、写真及びイラストの無断転載を禁じます ※本誌において記載されている会社名、商品名、サービス名は各社の商標又は登録商標です。なお、本 文中では商標又は登録商標を表すマークを特に提示していない場合があります。 Security Eye Vol.9 発行 特定非営利活動法人日本セキュリティ監査協会(JASA) 〒103-0025 東京都中央区日本橋茅場町2-8-4 全国中小企業会館5階 (Tel) 03-5640-7060 (Fax) 03−5640−0666 (E-Mail) [email protected] 編集 株式会社オールウィズ 印刷 プリンテックス株式会社 C 特定非営利活動法人日本セキュリティ監査協会 Printed in Japan 2008 ISSN 1880-6910 1 Security Eye Talking 代松 表下 取電 締器 役産 会業 長株 式 会 社 中 村 邦 夫 氏 巻頭 対談 土日特 定 居本 セ非 範キ営 利 久ュ リ活 氏テ動 ィ法 監人 査 協 会 会 長 松下電器産業株式会社における 情報セキュリティへの取り組みについて 情報セキュリティへの関心が高まる中、多くのグループ企業や委託先を抱え、取り組みに苦慮している企業も少なくあり ません。そこで、2004年に情報セキュリティ本部を設置し、社内、企業間の情報セキュリティ水準のレベルアップに向 けて積極的な取り組みを行っている松下電器産業会長 中村邦夫氏と日本セキュリティ監査協会会長 土居範久氏に、情 報化セキュリティ対策の必要性と監査の有効性についてお話を伺いました。 ( 「情報セキュリティ」は信頼される 企業になるための最重要課題 ) 松下電器産業の情報セキュリティ対策の状況についてお教 え願います。 のセキュリティ水準の向上は望めません。各部門が同じレ ベルでセキュリティ水準を高め、全社員が、 「情報は危険に さらされている」というリスクの意識を持って取り組んで いくことが大切だと思います。 実は、10年以上前になりますが、当時、グループ系企業 の社長就任時にDVDの暗号が解読されたことがもとで、共 中村氏 今日の情報化時代において、企業は社会、そして 同で開発してきた著作権保護技術の強化を米国ソフト業界 顧客、取引先の信頼を得るために、情報の適切な管理に基 から求められ、DVDプレイヤーやディスクの発売が延期と づく経営が求められています。しかしながら、情報の管理 なった苦い経験があります。セキュアにしたつもりでも破 不足によって様々な事件、事故が未だに後を絶ちません。 られる可能性があることを痛感しました。これが情報セキ 「情報セキュリティ」は、信頼される企業になるための 最重要課題といえるべきものです。そのため、当社では、 ュリティの重要性を認識した原点です。 社員の意識と申しましたが、 「情報を守れ」というだけで 2004年に情報セキュリティ本部を発足し、情報セキュリ は、なかなか意識は変わりません。当社では国内だけでも ティに本格的に取り組んでいます。 15万台を超えるPCを社員に貸与しており、PCの管理を徹 多くの企業では部門ごとに管理システムが構築されてい 底することにより、情報セキュリティの意識付けをするよ ますが、その中にひとつでもセキュリティレベルが低い部 うに取組んでおります。 「PCも守れない社員に情報を守れ 門があると、そこから破綻する、あるいは自ら情報が漏洩 る訳がない」と。PCを海外出張などに持っていくわけです してしまう恐れがあります。さらに、情報セキュリティの が、盗難や紛失などによって失うものの大きさ、情報の大 運用管理を情報部門だけに任せきりにしては、全社レベル 切さを、これからももっと訴えていく必要があるでしょう。 2 巻頭対談 ● 松下電器産業株式会社における情報セキュリティへの取り組みについて ( 情 報 の 価 値 を 認 識 し た う え で 情 報 セ キ ュ リ テ ィ を 確 立 へ ) 施行された経済産業省によ る「情報セキュリティ監査 制度」の普及、促進を目指 御社ではグローバルエクセレンスへの挑戦権を獲得するた す運営体として今日まで めの中期計画「GP3計画」を2007年度からスタートして 様々な活動を行ってきまし いますが、その中で社会の公器として、CSRの基本に環境 た。企業のセキュリティレ 経営、コンプライアンス、そして情報セキュリティの3つを ベルの向上においては、セ あげておられます。そこで、企業にとっての情報セキュリ キュリティへの理解を深め、 ティの価値についてお考えをお聞かせください。 対策やマネジメント方法に 中村邦夫氏 松下電器産業株式会社 代表取締役会長 対して方向性を提言する 中村氏 当社のGP3計画は、2010年までに売上高10兆円、 「助言型監査」、情報セキュ 経常利益8%、ROE10%を目標に進めています。そのGP3 リティに関するマネジメン 計画の重要な方針として、情報セキュリティの強化をあげ トやマネジメントにおける ています。 コントロールが監査手続き 情報の価値の認識が甘いと、取引先のお客様(カスタマ を実施した限りにおいて適 ー)に迷惑をかけてしまいます。情報は企業にとっては、 切であることを保証する 極めて重要な経営資源でありますし、ですからこそ、場合 「保証型監査」があります。 によっては多大な損害を及ぼしてしまいかねません。つま 今後は、内部統制、コン り、情報という極めて重要かつ危険なものを取り扱ってい プライアンスから企業が社 るという認識をしっかり持つことが重要なのです。それが 会的責任を果たすために、 できていれば、手段や方法を考え、実行していくことがで 外部へ情報セキュリティ監 きます。 査の結果を公表することが とはいえ、当社でも日常の企業活動における情報の価値 求められてくるでしょう。 土居範久氏 特定非営利活動法人 日本セキュリ ティ監査協会会長、中央大学教授、 慶應義塾大学名誉教授、日本学術 会議副会長、工学博士 の認識については、まだまだ行き届いていないのが現状で す。情報には様々なものがあります。企業は他の企業とコ 中村氏 ラボレーションしながら製品を作り上げ、また事業を拡張 も同じ水準の情報セキュリティが求められますので、監査 しています。それによって、極秘情報をプロジェクトに参 結果の公表はそのためにも有益だと思います。 取引の中で機密情報を交換する場合は、企業間で 加した企業が共有しているケースも少なくありません。 先に申しましたとおり、セキュリティの確立なくしては 企業経営が成り立たないといっても過言ではありません。 土居氏 まったくその通りですね。JASAでは保証型監査を、 業務委託関係にある委託元が委託先の監査において委託元 日本において、 “情報の価値”すなわち情報の重要性につ として期待している水準が満たされているかどうかに焦点 いて認識されたのは、歴史的に見てもそう古い話ではあり を絞って行う「利用者合意方式」 、委託先が委託元から求め ませんが、日本企業全体で認識しなければならない問題で られている情報セキュリティ対策の実施状況につき保証を あると思っています。 得たい場合などに用いる「被監査主体合意方式」 、情報セキ ュリティ管理基準や監査基準に沿い、委託先の監査結果を 土居氏 まさに仰るとおりで、情報セキュリティは、社会 全体で取り組んでいかなければならない問題ですね。 企業の情報セキュリティレベルを向上させる手法として、 広く利害関係者に公表する場合などに用いる「社会的合意 方式」に分類し、保証の意味と構成要件を定義しました。 すでに自社でしっかりした情報セキュリティ対策が実施 ISMS適合性評価制度があります。これは総体的なレベルア されている場合には、経営層がセキュリティ対策の取り組 ップが期待できます。しかし、日本の製造業を支える中堅、 み姿勢と実施について言明し、その対策状況を第三者に保 中小企業においては、ISMS取得に非常に時間を要したり、 証してもらい、顧客に提示する「利用者合意方式」の 情報 全体よりも部分的な情報セキュリティを望むところもあり セキュリティ監査を実施することで、ネットワーク社会に ます。 おける事業基盤の信頼を高めていくことができます。ぜひ、 日本セキュリティ監査協会(JASA)は、2003年4月に こうした保証型監査を役立ててほしいと思います。 3 巻頭対談 ● 松下電器産業株式会社における情報セキュリティへの取り組みについて ( 取 引 先 の 情 報 セ キ ュ リ テ ィ は 外 部 監 査 に 期 待 中村氏 ) 当社はグローバルな展開を行っていることもあり、 巻頭 対談 土居氏 まず日本が先鞭をつけるという意気込みですね。 監査ではISOなどのグローバルスタンダードを利用してい ますので、十分ご期待にお応えできると思います。 また、JASAの活動ではありませんが、経済産業省の情報 直接取引をしている企業は約1万社に上ります。さらにそれ セキュリティガバナンス研究会でもコーポレートガバナン らの企業と取引をしている企業もありますので、その数は スの施策ツールの見直しをいたしました。情報処理推進機 膨大です。 構(IPA)のWebサイトで公開している「情報セキュリティ 本来ならば、取引先すべて同じ水準で情報を管理し、セ キュリティを強化していかなければなりませんが、1万社を 対策ベンチマーク」や情報セキュリティ報告書モデルなど、 社会動向に沿って改訂したわけです。 直接、個別に監査していくのは困難です。当社としては、 内部の情報セキュリティを確固たるものにするために、監 中村氏 査要員の育成を行う必要がありますが、外部の監査も積極 セキュリティ対策ベンチマーク」を利用したところ、満点 的に利用していこうと考えています。 に近かったといいます。 土居氏 JASAでは、情報セキュリティ監査制度が公平かつ 土居氏 公正に行われるために、 「公認情報セキュリティ監査人資格 ぜひ業界を超えて、ご指導いただきたいと思います。 当社でも2年前に、情報セキュリティ本部で「情報 それはすばらしいですね。満点に近いところは、 制度(CAIS:Certified Auditor for Information Security) 」 を設立しています。同資格は情報セキュリティ監査を実施 中村氏 するために必要な知識、監査の経験、能力など、専門的な なく、さらに監査を通じて客観的な評価としてステークホ スキルが一定水準以上であることを担保する資格です。 ルダーにご理解いただくようにしていきたいですね。 ベンチマークの結果に満足して胡坐をかくのでは そのほか、JASAでは「監査手続作成ガイド」も公開して います。このガイドは情報セキュリティ監査を行う監査人 土居氏 JASAでは、今後も情報セキュリティ監査の実施に が一定レベルの監査を実施できるようにと作成されたもの 向けて、普及、啓蒙活動を続けてまいります。 ですが、監査を受ける側にとっても自組織のセキュリティ 対策の不備をチェックすることができる内容になっていま 最後にJASAへの期待をお伺いします。 す。標準的な監査工数の目安にもなるので、監査を発注す 中村氏 る際の参考として利用していただけるでしょう。 企業経営において、いろいろな側面で社会的責任 が生まれています。以前に比べて、社会的責任のうち、直 ( グローバルな情報セキュリティの必要性 日本が先鞭を 中村氏 ) 接的に企業の死命を制する責任、そのひとつが「情報セキ ュリティ」の問題です。 情報セキュリティはまだまだ不十分です。内部監査を実 当社に限らず、海外の取引先に重要な情報を委託 施、さきほどの自己監査で満点を取れたとしても、それは している企業は少なくありません。しかし、世界中どこで 自組織だけの対応です。やはり、外部の監査を実施し、セ も同じレベルで情報セキュリティ対策がなされているかと キュリティレベルが上がることが大切です。そういった点 いえば、国によってかなりのばらつきがあります。まずは、 からも、JASAには期待しています。 情報を知的財産の一つとして認識してもらう必要がありま す。情報セキュリティは、世界レベルで上がっていかなけ 土居氏 ればなりません。そういった意味でも、きちんとした監査 ります。情報セキュリティガバナンスを環境問題のような 制度を社内外に持つことが、これからのグローバル経営の 社会運動として認知していただくことも含めて、保証型情 資格といえます。 報セキュリティ監査のパイロット監査のタスクなどを通じ まだまだやらなければならないことはたくさんあ 世界レベルできちっとした監査制度を作るためにも、相 て得られた情報を社会にフィードバックしていきます。ま 互承認などで監査制度をグローバルスタンダードにしてい た、グローバルな展開と併せて、日本の現状にあわせたロ ければ、よいのではないでしょうか。 ーカライズにも取り組んでいく必要があります。今後の活 動に期待頂ければと思います。 4 特集 経済産業省インタビュー 1 わが国の情報セキュリティ政策 について ∼経済産業省の取り組み∼ 2007年12月19日に東京・九段下で「2007年度情報セキュリティ監査セミナー in TOKYO」が開 催されました。そこで、 「わが国の情報セキュリティへの取り組み」と題し講演された、経済産業省商務 情報政策局 情報セキュリティ政策室室長の三角育生氏に、改めて情報セキュリティへのわが国の取り 組みと経済産業省の果たす役割、そして情報セキュリティ監査の今後についてお話を伺いました。 策の利用促進など、多くの施策を下支えしてきました。 まず、2007年度の政府全体の情報セキュリティ政策の また、 「早期警戒体制の整備」 「技術的対策の推進」 、 「組織 取り組み状況と、そこに果たした経済産業省の役割につ 的対策の推進」という三つの大きな柱に沿って、コンピュ いて教えてください。 ータセキュリティの早期警戒体制の整備・運用、IT製品のセ キュリティ評価システムの整備、企業の情報セキュリティ 2007年度のわが国政府の取り組みは、内閣官房情報セ キュリティセンターを中心 ガバナンスの確立促進のためのツール開発、第三者評価シ 経済産業省の情報セキュリティ政策の概要 に、2006年2月に決定され た「第一次情報セキュリティ 基本計画」と、それに沿った 年度計画「セキュア・ジャパ ン2007」に基づいた施策に ついて、改めて評価、課題の 抽出、持続的改善構造の構築 などPDCAサイクルでいえば DとCを中心に実施したとい えるでしょう。特に今年度は 評価の結果を踏まえた着実な 実施に力を入れました。 経済産業省は重要インフラ 所管省庁であり、かつ情報セ キュリティ関係省庁であるた め、政府機関に関しては、情 報セキュリティに配慮したシ ステム選定・調達の支援や政 府機関における安全な暗号対 出典:2007 年度 情報セキュリティ監査セミナー in Tokyo (12月 19 日)「わが国の情報セキュリティ政策について」 5 特集 1 経済産業省インタビュー <グローバル情報セキュリティ戦略の位置づけ> 特に情報セキュリティ監査の入り口と してのセルフチェックの活用というこ とについて、詳しくお話いただけます か? 多くの企業では情報セキュリティガバ ナンスの重要性は充分認識されているも のの、なかなか実施の段階に進まない状 況にあります。我々は、この原因を、① IT事故発生のリスクが不明確で、適正な 情報セキュリティ投資の判断が困難、② 出典:経済産業省 グローバルセキュリティ戦略 ステムの整備などを実施してきました。 既存の情報セキュリティ対策・取り組み が企業価値に直結していない、③ 事業継 続性確保の必要性が十分認識されていない、の3つにあると 更に、ITが国内外の経済社会システムに融合し、情報セキ 考えました。その問題点を克服するツールとして、①に対 ュリティに関する脅威も国際化する傾向にある中、産業構 しては情報セキュリティ対策ベンチマーク(以下、ベンチ 造審議会情報セキュリティ基本問題委員会は、2007年5月、 マーク) 、②に対しては情報セキュリティ報告書モデル、③ 「グローバル情報セキュリティ戦略」を取りまとめました。 に対しては事業促進継続計画策定ガイドラインを用意して この「グローバル情報セキュリティ戦略」は、 「我が国を います。特にベンチマークについては2007年12月に、 真に『情報セキュリティ先進国』とするための取組み」、 JIS Q 27001:2006に対応するVer3.0をIPAのホーム 「国際化する脅威に対応し、我が国の国際競争力を強化して いく観点からの情報セキュリティ政策のグローバル展開」 、 「国内外の変化に対応するためのメカニズムの確立」の3つ の戦略から成り立っています。 ページを介して公表したところです。 ベンチマークは、Webから無料で診断でき、多くの組織 のデータを基に、その業界内での自組織のセキュリティ対 策のレベルが分かるため、特に中小企業を中心にこれから も利用促進につとめたいと思います。 今年度の取り組みの中でも、企業の情報セキュリティガ バナンスの確立を促進するツールと既存政策との連携、 しかし、自己評価のみでは利害関係者が納得できない場 合もあることから、第三者に評価してもらう仕組みが必要 <情報セキュリティガバナンスの確立> 2007 年度情報セキュリティ監査セミナー in Tokyo (12月 19 日)講演資料「わが国の情報セキュリティ政策について」より抜粋 6 わが国の情報セキュリティ政策について∼経済産業省の取り組み∼ JASAの2006年度成果物である「JIS Q 27001に準 拠した監査手続き」と情報セキュリティ管理基準の関係 についてお聞かせください。 情報セキュリティ管理基準については、JIS Q 27001に 対応した「情報セキュリティ管理基準Ver.2.0」として今年 度末を目途に改定する予定です。 「情報セキュリティ管理基 準Ver.2.0」は、JIS Q 27001附属書Aに対応した管理策 と、JIS Q 27002の実施の手引きや昨年度のJASAで作成 された監査手続き作成ガイド、並びに有識者の知見をベー スにした管理ポイントで構成される見込みです。 また、例えば「言明書の作成には経営者の関与が必要」 等のマネジメント上の管理策を、JIS Q 27001本文の管理 策をもとに、保証型情報セキュリティ監査に対応したマネ ジメントポイントとしてまとめ、2008年度初めに公開す になります。その仕組みが、ISMS認証制度や、情報セキュ リティ監査であるわけですが、情報セキュリティ監査を受 ける前段階として、ベンチマークを利用していくというの が組織の情報セキュリティ評価の効率的な策の一つといえ るでしょう。 ることができないか検討しているところです。 情報セキュリティ監査におけるJASAの役割について、 ご期待いただいていることは何でしょうか。 平成15年に運用を開始した情報セキュリティ監査制度を ISMSの認証取得が2007年12月21日現在で2,444 社会に普及・浸透するためには、情報セキュリティ監査の 件、また情報セキュリティ監査の実施数が10,113件 普及啓蒙活動のみならず、監査主体による「公正かつ公平 (2006年度実施件数:監査企業台帳より)と、どちら な情報セキュリティ監査」の実施が欠かせません。そのた も年々増加していますが、こうした第三者による情報セ めには、標準的な監査手法や監査技術を確立し、監査の質 キュリティ評価は今後さらに拡大していくでしょうか。 が一定水準以上であることを担保する仕組み作りが必要と なります。 ITがこれだけ企業活動の中枢に組み込まれている社会に おいては、セキュリティ対策をおろそかにしていては基幹 業務を揺るがしかねない、という認識が徐々に浸透するに つれ、第三者による評価を求める声は高まってくるでしょ うし、第三者評価の結果を正しく利害関係者に伝えること が企業価値を高める方法の一つとなることは間違いがない でしょう。 この目的を達成するためにも、情報セキュリティ監査の 普及促進のために幅広い活動を通じて、尽力されている JASAの皆様方の取り組みは重要です。 今後ともより一層の監査技術の向上、監査主体の質の向 上、公正・公平な情報セキュリティ監査制度の一層の普及、 促進によってITを安心して利用可能な環境が実現されること を期待しております。 制度と誤解される方がいるようですが、むしろ相互に補完 する関係にあるといえます。多くの利害関係者がそれぞれ の立場から異なった要求をするわけですから、一つの制度 だけでそれを満たそうとすることは難しい場合がある、と 考えて制度を作ってきました。どれが優位にあってどれが 劣る、というのではなく、この要求にはこの制度を利用す るとよりベターである、と理解して利用するのが望ましい 姿ではないかと考えています。 PROFILE よく、ISMS認証制度と情報セキュリティ監査は相対する 三角 育生 氏 経済産業省商務情報政策局 情報セキュリティ政策室 室長。旧通産省入省後、独 立行政法人情報処理推進機 構セキュリティセンター長 などを経て2007年6月よ り現職。 東京大学大学院工学系研究 科修了。博士(工学) 7 特集 2 基 調 講 演 2007年度 情報セキュリティ監査セミナー in Tokyo ISMSとセキュリティ監査について 日本セキュリティ監査協会(JASA)は、これまで「全国縦断 情報 セキュリティ監査セミナー」を開催してきました。昨年12月19日 に開催された「2007年度 情報セキュリティ監査セミナー in Tokyo」では、基調講演にISO27000シリーズのエディターであ るAEXIS Security Consultants社 取締役 Dr. Angelika Plate 氏を迎え、「ISMSと情報セキュリティ監査について」と題して、 ISO/IEC27000シリーズの近況報告やISMSと情報セキュリティ 監査についての世界的な動向について講演を行いました。 SC 27の活動と進捗状況 SC 27委員会の活動と進捗状況 AEXIS Security Consultants社 取締役 Dr.Angelika Plate 氏 ISO/IEC JTC 1/SC 27において、 ISO/IEC27000シリーズ、ISO/IEC 17799:2000、ISO/IEC17799:2005 等の編集を担当 ISMS規格の構成と具体的な進捗状況 ISMS規格の構成と具体的な進捗状況 Angelika氏の講演は大きく二つのパートに分かれ、第一 ISMS規格は、すでに発行したもの、今後、発行してい パートでは、ISO/IEC JTC 1/SC 27(以下、SC27)の く予定のもの、新しく立ち上がるプロジェクトを含め、現 活動内容を紹介するとともに、ISO/IEC27000シリーズ 在、以下のように構成されています。 の規格化について、現在の具体的な進捗状況を紹介しまし た。続く第二パートでは、ISMS監査について、Angelika 氏の私見などを交えて課題を解説しました。 まず、ISO/IEC JTC 1/SC 27という標準化組織ですが、 全てのISMS 規格を統括する専門委員会であり、情報セキ ・27000 ・27001 ・27002 ・27003 ・27004 ・27005 ュリティ技術の標準化を担当しています。その具体的な活 動を担う組織として、以下のような5つのWG(ワーキン ググループ)があります。 WG1(ISMS規格) WG2(セキュリティ技術とメカニズム) WG3(セキュリティ評価基準) WG4(セキュリティの管理とサービス) WG5(ID管理とプライバシー技術) WG2は、ISMS規格には直接的な関係は薄いものの、暗 ・27006 ・27007 概要及び用語(予定) 情報セキュリティマネジメントシステムの要求事項 情報セキュリティマネジメントの実践のための規範 情報セキュリティマネジメント実施の手引き(予定) 情報セキュリティマネジメントの測定(予定) 情報セキュリティリスクマネジメント(予定) および27001との関連する規格として ISMSの審査と認証を行う機関に対する要求事項 ISMS監査ガイドライン(新プロジェクト) 27001が、まさに情報セキュリティマネジメントシステ ムの本体であり、この本体をサポートするガイダンス(指針) として27000、27002、27003、27004、27005の 5つが位置づけられています。 シリーズの中で、以前はISO/IEC17799と呼ばれてい 号化、デジタル署名などの技術に対応しているグループです。 たのがISO/IEC27002で、情報セキュリティを実施してい WG3は、セキュリティ製品などの評価という切り口で活 くためのさまざまな管理策をまとめています。実際に発行 動しています。著名な成果物に、情報技術に関連した製品、 済みの文書となっているのが27001と27002です。また、 システムが適切に設計され、正しく実装されているかを評 認定のための要求事項を規定した27006も発行済みです。 価する国際標準規格ISO/IEC 15408があります。ISMS 27000、27003、27004、27005の4つについて 規格を実装していく際の課題や問題点について対応するの は現在策定中で27005は来年の半ばに発行見込みで、 がWG4の役割です。WG5は、ISMS規格を進めていく上 27004についてはあと1年半ほどかかる見通しです。また、 で、まだ未定のもの、今後、課題となってくるものについ これらの規格が今後、順次発行される予定ですが、大切な て検討しているグループです。特に難易度の高い問題に対 点は実際にISMS構築・運用等を行っていく上での要求事項 処しています。 ではなく、ガイダンス(指針)であることだといいます。 8 ISMS監査ガイドラインを規定する「27007」 ISMS審査のガイドラインを規定する「27007」 27006の附属書Cには、27006を補助する具体的な規 定が盛り込まれていますが、これはISMS認証の実績が世 界で最も多く、監査の実態と問題点を良く把握している日 現在、ISMS監査のガイドラインを規定する新しいプロジ ェクトが立ち上がっており、今後27007と命名されると 本から起草されました。 2.監査人の力量が問題となる点 考えられています。これはISO19011とISO/IEC27001 もう一点、欧州で問題となるのは、監査人の力量といい をベースとしています。27007は、構成面でISO19011 ます。監査人は、大きく2つのタイプに分類できます。まず、 (JISQ19011 品質及びまたは環境マネジメントシステム監 一つは他のマネジメントシステムで経験を積んだ人。この 査のための指針)に準じることが決定しており、ここに 場合、技術面の力量不足が問題になるケースがあります。 ISMS監査に関わる追加的な内容を盛り込んでいくことにな もう一方は技術畑の出身者で、こちらは文書化やマネジメ るといいます。 ントシステムそのもの、内部監査に関する力量が問われる Angelika氏は、 「27007のプロジェクトは開始したばか りで、発行には2年ほど掛かると考えています。と言うのも、 ケースがあると、問題を指摘します。 こうした問題点に対するため、27006では、監査人の力 SC27で検討したところ、基準とする対象のISO19011自 量について、基準を規定しています。 「ただ、ドイツでは要 体の見直しを迫られるという状況になってしまったのです」 求する基準があまりに高すぎ、人材不足という問題が出てき と背景を説明しました。 ました」と対処の難しさを指摘する一方、 「しかし、監査の 現状で決定しているのは、第一者監査、第二者監査、第三 クオリティを下げないため、また、監査に対する信頼を確立 者監査をカバーしていくことです。また、17021-2(マネジ するためにも、こうした基準は必須であり、人材不足の問題 メントシステムの第三者審査の要求事項を規定する新規格) も時間が解決するであろうと考えています」と語りました。 という規格化グループも認証監査の部分で重複があるためカ 3.マネジメントシステムにおける監査の問題 バーする必要があるなど、他の関連するグループの動きも常 被監査主体が陥りがちなのは、ISMS監査自体にあまり にモニタリングしなければならないことが、27007プロジ に主眼を置くことで、内部監査やマネジメントレビューの ェクトの進行を遅らせる要因になっています。 重要性を見落としてしまう点ですと、Angelika氏。ISMS Angelika氏はもう一点、ISMS監査の技術的な側面につ いて規定する27008についても触れ、 「この27008規格 監査を実施する前に、この2つをしっかりと実施しておか なければならないことを強調しました。 は、規格化するかについても検討している段階で、 “Study もう一つの問題点は、問題発生後の事後処置に目が行っ Period”という扱いをしており、次回のSC27の会合が開 てしまい、将来に起こるかもしれない問題に対する予防措 催される2008年4月の京都で、プロジェクトを進めるか 置が疎かになっていることと言います。 どうか決定することになっています」と語りました。 27001では、リスクアセスメントについて、それぞれ の組織が必要なアプローチを取らなければならないのです ISMS監査における問題点 ISMS監査における問題点 が、義務化されている事項がなく、採り得るアプローチに 多くの手法がある点が問題です。選択の自由の高さはメリ 1.監査の期間 講演の後半となるパート2では、ISMS監査に対する Angelika氏の見解と問題点について、解説しました。 ットと思いますが、一方で、その多くの選択肢に対するユ ーザーの理解が不十分なケースが少なくありません。 「特に、 私がチェックが不足していると感じるのは2点あり、一つ まず、一つ目の問題点として、監査の期間(時間)の問 は資産目録が不完全であること、もう一つは本当にその組 題を挙げました。欧州でのケースを取り上げ、 「例えば、あ 織にカスタム化した脅威や脆弱性の評価になっているのか る監査機関では、社員150名程度の企業の場合は基本的に という点です」とAngelika氏。また、アセスメントも大き 5日間で監査します。本来であれば、企業の個別事情で異 な問題であるものの、それ以上に難しい問題は「測定」部 なる監査期間が、まず時間ありきの状態になるのはあって 分といいます。具体的なガイダンスがないことから、組織 はならないことです。しかし、他の監査機関に対する優位 側では、どのように測定すれば良いのか分からず、監査人 性を確保するためにこうしたケースが発生してしまうので 側も何をチェックすれば良いのか分からないので、自分の す」と背景を説明しました。 経験や知識だけで対処しているのが現状です。 こうした問題に対応するために、ISMSの審査及び認証 このような問題があることが分かっていながらも、具体 を行う機関に対する要求事項を規程する27006には、適 的な基準を示すのに時間がかかる難しさを指摘し、講演を 切な監査期間についての基準を盛り込んでいます。なお、 締めくくりました。 9 主席監査人 原田要之助の海外レポート 第4回 Convergence(統合化)が進む 企業のセキュリティ対策 公認情報セキュリティ主席監査人 原田要之助 ■はじめに はじめに 情報通信総合研究所 マーケッティング研究グループ主席研究員(大阪大学 工学部特任教授) 公認情報システム監査人、公認情報セキュリティマネジャー、技術士(情報 工学)ほか。1977年電信電話公社(武蔵野電気通信研究所)入社、通信ネ ットワークおよびネットワークの遠隔制御・保守の研究開発に従事、1990 年よりNTT通信網総合研究所で通信ネットワークのセキュリティの研究開発 に従事、1999年より情報通信総合研究所で情報通信およびセキュリティ分 野のコンサルティング、情報セキュリティ監査、海外ODA案件を中心に活動。 サーバの管理と思いきや、監視カメラの集中監視と訪問者のスク リーニング、入館証の発行などをしているケースがほとんどで、 今回は、海外企業の情報セキュリティ対策についてのグロー 情報システムの監視センタを兼ねているケースはありません。ち バルなトレンドになり始めた「物理的セキュリティと情報セキ なみに、セキュリティガードは、警備の観点からみてテロ対策な ュリティの統合化」 (以下、統合化という)について報告します。 どが中心なので、火器や爆発物などに対する関心は高いのですが、 情報セキュリティ管理基準では、セキュリティ境界の実現や USBやパソコンの持ち込みや持ち出しには業務に定められていな 物理的セキュリティについて述べています。しかし、現実の監 ければ、ほとんど興味がありません。情報漏えい対策では、情報 査の場面では、入館システムについては、入館者のスクリーニ セキュリティ担当と物理的セキュリティ担当との緊密な連携が必 ングができていればよく、細かいシステムの内容や他のシステ 要ですが、これが進んでいないのが現実です。なお、前出の ムとの連携についてまで監査することはないように思います。 AESRM の調査では、企業のセキュリティ関連の被害金額は、個 AESRM( The Alliance for Enterprise Security Risk 人情報の持ち出しによる被害の方が、物理的なセキュリティによ Management)では、デロイト(日本では、トーマツ)と共同で調 る爆破よりも大きいことを明らかにしています。しかし、人の生 査(*)を実施して、企業がERM(Enterprise Risk Management) 死に関わるため、物理的セキュリティの方が大きく見られている を進める上で、セキュリティシステムの統合化から進めるよう と報告しています。 になってきたことを報告しています。 物理的セキュリティ ■物理的セキュリティ ここでの問題は、企業の経営からは、セキュリティの統合化を 進めたいが、要求されるスキルが極端に異なるということです。 どちらも、企業にとって重要ではあるものの、スキルやキャリア 現在、企業の多くは洋の東西を問わず、物理的なセキュリテ パスが異なるため、どちらのグループも統合には消極的というの ィ対策と情報セキュリティ対策を個別に実施しています。例え が実情のようです。統合しても、多くの場合、上司が一緒になっ ば、建物への入退室については、セキュリティガード(守衛) ただけの寄り合い所帯にしかならず、統合のメリットが得られな が訪問者や就労者に対して持ち物検査や身分証明を求めます。 いということも報告しています。 海外では、文字通り、実弾を込めた拳銃を持ったセキュリテ ィガードが警備しています。ちなみに、詰め所の窓ガラスや監 セキュリティ対策の統合化のメリットとは ■セキュリティ対策の統合化のメリットとは 視カメラには、30口径ライフルに対する防弾製品が要求されて 上記のように、企業では、漏えいや不正防止のための情報セキ います。また、企業の内部でも、要人など重要な箇所にはセキ ュリティ対策およびテロなどの企業への攻撃防止のための物理的 ュリティゲートが配置されていて、物理的にセキュリティ境界 セキュリティ対策の費用が増大しています。当然、これらの対策 に侵入できないようにしています。多くの場合、この主管部門 の費用増加に対して、コスト削減が要請されています。 は、警備を主とするセキュリティ部門となっています。 情報セキュリティと物理的セキュリティはばらばら ■情報セキュリティと物理的セキュリティはばらばら 一方、情報セキュリティについては、海外の企業でも、ほとん ICカードによる入館システムでは、セキュリティゲートを省 力化でき、かつ、ICカードを多目的に利用でき、情報システム のログインにも利用することができるため、企業の個人認証を 一元化するソリューションが可能となっています。米国でも、 どの場合、情報システムの運用管理という高度なIT技術が必要 一部の大企業が、ICカードによる認証を採用しており、このよ となるため、IT部門が担当しているケースが多いようです。海 うな企業では、必然的に、統合化の方向に向かうようです。企 外の企業を監査した経験からは、物理的セキュリティと情報セキ 業内の従業員の所在やログイン状況、帰宅状況をリアルタイム ュリティとが、ばらばらのケースがほとんどでした。例えば、あ で把握しています。すなわち、管理をきめ細かくして、内部犯 る企業のセキュリティセンタを訪問すると、情報セキュリティの 罪の抑止に繋げています。 10 主席監査人 原田要之助の海外レポート AESRMとデロイトの調査結果(*)では、次のことが明らかに 業員の専門性から調整がつきませんでした。 □ SAPの統合化の例から なっています。 統合化に向けての誘因は、次の点が挙げられています。 SAPでは、3年前から物理的セキュリティと情報セキュリティ ・ リスク低減 の統合を進め、現在、50カ国200事業所を対象にしています。現 ・ 情報の共有化の促進(従業員情報を一元管理でき、異動 在、100名のグローバルセキュリティプロフェッショナルが統合 の際、タイムリ 化セキュリティを全世界で推進し、14名の企業セキュリティガ に対処できる) バナンスグループに報告しています。SAPは、企業のERMにつ ・ 資産、財産の保 いては別の80名のグローバルリスクマネジメントグループが担 護(統合システ 当しており、両者がコミュニケーションをとりながらリスクマ ムで持ち出しを ネジメントとセキュリティリスクの対応を行っています。これ 防げる) は、ERMは企業全体の財務リスクを含めた広範なリスクを扱う ・ 規制への準拠 ・ コスト削減 【出典】統合化を進める上での誘因(*)の図13より のに対して、グローバルセキュリティプロフェッショナルは、 セキュリティの現実の問題解決を行うことになっています。 SAPでの統合セキュリティの導入とERMとの整合性について 一方、統合化して得られる企業の付加価値は、誘因とは多少 異なっていて、次のようになっています。 は、組織の変革に追随できない人がいるのが大きな問題であり、 変化を厭う組織文化の変革時間を要したとのことです。ここま ・ セキュリティの向上 で実施するためには企業としてのトップの強い指導力が必要で ・ コスト削減 あったと報告されています。 ・ 規制への準拠 日本企業のERMのアプローチ ・ 生産性の向上 ■日本企業のERMのアプローチ ・ インシデントへ 上記のように、海外の企業では、セキュリティ対策の費用の の即応 削減を目指して統合化が進められています。一方、日本企業で ・ インシデント原 は、物理的セキュリティと情報セキュリティを統合するよりも、 因の関連付け ・ 説明責任の向上 むしろ、企業のリスクマネジメントを経営が判断できる形に統 【出典】統合化で得られる価値(*)の図14より 合化する方向のように見えます。企業のリスクには、情報セキ この結果からは、統合化に対するメリットが極めて大きいよ ュリティ以外にも、自然災害・事故、企業攻撃、環境問題、製 うに見えます。しかし調査報告では、実際に、これらの価値を 品・サービスのトラブルなどさまざまなものがあり、これらに 手にしている企業はほんの少数であり、多くの企業の希望の表 対して適切に対応するこ れとも述べられています。 とが望まれており、これ 統合セキュリティに向けて ■統合セキュリティに向けて らをリスクマネジメント として統合する動きにあ システムの導入などをきっかけに、企業の多くは、セキュリ るようです。右に富士通 ティ統合の方向に向かうと考えられます。しかし、統合セキュ の例を示します。他企業 リティについては、AESRMの調査結果からは、必ずしも、簡 でも同様の試みがなされ 単ではないと述べています。これは、セキュリティの統合には、 ています。 企業としての変革が伴うためです。これについて筆者の経験と AESRMのヒアリングによる事例を紹介します。 □ 設計段階でも難しいセキュリティの統合化 昨年、ある海外の博物館のIT案件では、警備のセキュリティ 【出典】富士通ホームページ: http://jp.fujitsu.com/about/csr/riskmanagement/ まとめ ■まとめ 本稿では、AESRMとデロイトによる調査をベースに海外企 業における物理セキュリティと論理セキュリティの統合につい センタと情報セキュリティセンタが個別に計画され、ネットワー て報告しました。企業は、入館システムなどをきっかけにして、 クも個別に光ファイバを引き回すというものでした。警備のセキ セキュリティを統合化する方向にあります。ただし、物理セキ ュリティセンタには、館内・館外の300台の監視カメラからデジ ュリティには、警備という観点もあり、両者の統合化は、なか タルで監視画像が光ファイバを経由して集められ、監視画像を巨 なか難しいのが現実のようです。 大なストレージに蓄積し、さらに、合成した画像を別のサイトに 日本では、ERMを進める企業も多いようですが、セキュリテ 送ってバックアップする計画となっていました。利用するITは、 ィの統合化の段階で、海外企業と同様な問題に遭遇するように 情報システムのものとすべて同じ光ファイバ、サーバ、スイッチ、 思います。情報セキュリティ監査においては、これらのセキュ ストレージ装置です。これに対して、システムとセンタを一元化 リティの統合化については、稚拙な統合化よりも、セキュリテ すると、予算を劇的に削減できることが分かりました。しかし、 ィの重要性と企業としての組織力などを見ながら助言する必要 発注側の意見調整がつかず、別々に進めることになりました。従 があると思います。 (*)The Convergence of Physical and Information Security in the Context of Enterprise Risk Management、 この文書は次のサイトからダウンロードできます。http://www.aesrm.org/AESRM_Convergence_in_ERM.pdf 11 解 説 監査手法/技術 情報セキュリティ対策ベンチマーク活用集と 情報セキュリティ監査 _ 情報セキュリティ対策 ベンチマーク 情報セキュリティ対策ベンチマークは、組織の情報 セキュリティ対策の取組状況(25項目)と企業プロフ ィール(15項目)を回答することにより、他社と比較 して、セキュリティ対策の取組状況がどのレベルに位 置しているかを確認できる、Webベースの自己診断シ ステムです。情報セキュリティ対策の取組状況の評価 ▲情報セキュリティ対策ベンチマークの概要 項目は、ISMS認証基準( JIS Q 27001 : 2006 )附属書A の管理策(133項目)をもとに、組織的対策、人的対策、 よび専門家により構成される「情報セキュリティ対策 物理的対策、技術的対策を網羅し、25項目に整理され ベンチマーク普及検討会」では、ニーズに応じた活用 ています。より詳細な評価をしたい場合には、各評価 例や、情報セキュリティ監査やISMS認証取得などの準 項目に付随している対策のポイント(全146項目)を利 備段階で本システムを活用するためのケーススタディ 用することもできます。 やノウハウなどを集め、情報セキュリティ対策ベンチ 本システムは、経済産業省公表の施策ツールを、独 マーク活用集をまとめました。 立行政法人 情報処理推進機構(IPA)が自動診断シス 本活用集は、情報セキュリティ対策ベンチマークの テムとして開発し、2005年8月よりIPAのWeb上で提供 利用者が、そのニーズにあった活用例を見出せるよう、 しています。公開以来、多くの企業に利用されていま 実際のビジネスシーンを想定したケーススタディを示 すが、活用例といったものがないために、チェックツ しています。また、すでに情報セキュリティ対策ベン ール的な使い方をしているケースが大半です。そこで、 チマークを利用した人に、さらなる活用のアイディア IPA、特定非営利活動法人 日本セキュリティ監査協会、 財団法人 日本情報処理開発協会をはじめとする団体お 12 を提供することを意図しています。 (http://www.ipa.go.jp/security/benchmark/index.html) ●他社との比較により、経営層の危機意識が高まり、情報 本活用集の概要 セキュリティ対策が加速する。 一方、情報セキュリティ監査、特に保証型情報セキ ュリティ監査は、保証意見を表明することを目的に、 本活用集では、情報セキュリティ対策ベンチマーク 対象範囲を特定業務や特定システム、特定部門などに の活用という視点から、情報セキュリティ対策状況の 絞り、情報セキュリティ管理基準やそれを参照して作 評価について、具体的に説明し、現場での応用がしや 成された個別管理基準を評価尺度とし、より詳細な個 すいように配慮しています。 別的、専門的な評価を実施することに特徴があります。 第1章では、情報セキュリティ対策ベンチマーク、情 情報セキュリティ対策ベンチマークの評価項目は、 報セキュリティ監査、ISMS適合性評価制度について、 網羅的、簡易的、固定的であることから、より詳細に それぞれの評価手法を比較し、その特徴や位置づけを 多くの項目を評価したい場合は、ISMS適合性評価制度 説明しています。 や情報セキュリティ監査を利用することができます。 第2章では、情報セキュリティ対策ベンチマークの活 用例を3件示しています。 第3章では、情報セキュリティ対策ベンチマークでは 高得点であった企業が、次のステップとして、情報セ キュリティ対策ベンチマークをISMS認証取得に活用す る例を示しています。 第4章では、情報セキュリティ対策ベンチマークを情 報セキュリティ監査へ活用する例として、4つのケース スタディを示しています。 付録には、情報セキュリティ対策ベンチマーク、 ISMS適合性評価制度、情報セキュリティ監査それぞれ の評価についての説明を記しています。 自己評価から 第三者評価への展開 ▲情報セキュリティ対策ベンチマークから第三者評価への展開 このように、本活用集は、情報セキュリティ対策ベ ンチマークとISMS認証取得や情報セキュリティ監査の 関係を具体的に示し、これら評価の準備段階で活用す るための具体的な手引きとなるものです。 情報セキュリティ対策ベンチマークの利用により、 情報セキュリティ対策ベンチマークは、自己評価で 情報セキュリティに対する意識が向上し、さらに詳細 あり、その利用は無料です。評価項目は25項目と簡 で専門的な評価である、情報セキュリティ監査にステ 易・固定的ですが、組織のセキュリティ対策として最 ップアップするケースが増えることを願っています。 低限必要な項目を網羅しています。情報セキュリティ ベンチマークの利点をあらためてまとめると次のよう になります。 執筆者:菅野 泰子 ●時間や費用がかからず、専門的な知識がなくても自己診 独立行政法人 情報処理推進機構(IPA) セキュリティセンター調査役 断ができる ●情報セキュリティ対策として網羅的に何をすべきか理解 しやすい ●解説書を読むより、自己診断をすることで理解が深まる ●対策を実施していない会社にとっては、セキュリティ対 策を始める良いきっかけになる ●散布図やレーダーチャートなどで自社の位置を知ること ができる お茶の水女子大卒業。(株)日本航 空、 (株)ヒューコムを経て2003年 よりIPA勤務。 海外セキュリティ組織との連携、米 国NISTセキュリティ関連文書の翻訳 プロジェクト、情報セキュリティ読本、情報セキュリティ教本の 編集・執筆に従事。情報セキュリティ対策ベンチマーク担当。 システム監査技術者、情報セキュリティアドミニストレーター、 テクニカルエンジニア(情報セキュリティ、ネットワーク) 。 13 御 用 聞 き か ら パ ー 資 格 取 得 の 必 要 性 を 痛 感 し 、 連 絡 会 を 発 足 教育事業者連絡会 ISEPA ユーザ事例 ト ナ ー REPORT へ 情報セキュリティ教育事業者連絡会 ISEPA 代表 株式会社ラック/(ISC)2 与儀大輔氏 横河電機株式会社でのセキュリティ事業立上などを経 て2007年8月より株式会社ラック 研究開発本部 ラックユニバーシティ事務局長及び(ISC)2Japanを兼 務しCISSPの普及推進及び情報セキュリティに関わる 人材育成分野での業務に従事 Security Eye Vol.8 でもお伝えしたとおり、2007年10月1日、国内の情 報セキュリティ人材教育に携わる団体が連携し、教育事業者連絡会ISEPA (Information Security Education Providers Association)が発足しま した。ISEPA代表の与儀大輔氏に発足の経緯と、今後の取り組みについて お話を伺いました。 この度、情報セキュリティ教育事業 者連絡会の代表を拝命致しました、与 私のキャリアとしてISMSでマネー 儀と申します。産学官が連係した情報 ジメントシステムを理解している、 セキュリティの人材育成分野での初の CISSPで情報セキュリティのプロフ 試みでもあります連絡会についてご紹 ェッショナルという客観的な評価を獲 介させて頂きます。 得したことにより、活動領域が拡大し てゆきました。その後お客様のセキュ 営業マンからコンサルタントへ リティ事業立ち上げなどのコンサルな どを行っていたときに、(ISC)2からセ 私は3年ほど前から(ISC)2※のセール ールスマネージャーとして日本で スマネージャーとして、CISSP※の日 CISSPを普及、推進を支援して欲し 本での普及推進を行っております。 いとの依頼を受け現在に至ります。振 私自身認定保持者ですが、もともと 返ってみますと業務経歴何年ではな は営業職であり、数年前にスキルアッ く、お客様から客観的な評価を得られ プのために資格取得を目指したのが情 る資格を取得したことは自分自身にと 報セキュリティ教育分野との出会いで って非常に有意義であったと思いま す。2003年にNTTコミュニケーシ す。 ョンズが展開していた「.com. Master」を、翌2004年には上司を 独学での苦労からISEPA発足へ 説得してISMS審査員補の認定を取得 し、ISMS認証取得コンサルから製品 (ISC)2のセールスマネージャーとし 導入まで一気通貫でお客様に提案でき て、日本全国を駆け回り「CISSP」 るパートナー、コンサルタントとして、 を普及する活動をしておりますと、情 営業のとき以上に信頼を得ることがで 報セキュリティ教育に関わる多くの皆 きるようになりました。 様とお話をする機会を得ました。そこ その後の業務を通じて、欧米ではセ で感じたことは各資格運営団体の個別 キュリティビジネスをする際にCISSP 活動による「情報発信と連携体制の不 や公認情報システム監査人(CISA)と 足」です。 いう資格を取得するのが一般的である 時を同じくして、政府の情報セキュ との情報を入手して、2005年に リティ政策会議において「第1次情報 (ISC) が実施している「CISSP」にチ セキュリティ基本計画」 、 「セキュアジ ャレンジしました。一度は失敗したも ャパン2007」 、 「人材育成・資格制度 のの、2ヶ月猛勉強をした結果、 体系化専門委員会報告書」などにおい CISSPに合格したときは本当に嬉し て人材育成の重要性と基本方針が示さ 2 ※ (ISC) :International Information Systems Security Certification Conso rtium ※ CISSP認定資格:(ISC) 2が認定を行っている国際的な情報セキュリティ・プロフェッショナル認証資格 2 14 かったことを覚えています。 USER'S CASE STUDY れました。内閣官房情報セキュリティ けるIT社会の中で、我々の生活におい 試みである「情報セキュリティ人材育 センター発行の「人材育成・資格制度 てもITは重要なインフラとしての役目 成セミナーin Tokyo」を開催したと 体系化専門委員会報告書」のサブタイ を担っていると言えます。 トルには「人は城、人は石垣、人は堀」 ころ、200名を超える参加者より 情報セキュリティ分野においてはポ 「国や高等教育機関の考えと情報セキ と、いかに人材が重要であるか明記さ リシー作成やシステムの導入、運用管 ュリティ教育や資格に関して1日で学 れており、情報セキュリティ人材育成 理などの業務のみならず内部統制や べる大変有意義なセミナーだった」と は企業や組織の活動において必要不可 CSR、コンプライアンスなど組織と 多数の声が寄せられました。 欠な重要課題であり国策としても大変 しての対応を迫られている多くの課題 重要な位置付けにあることはご理解頂 があります。山積した諸問題を解決す 人材育成について広く考えていただく いていると感じました。 ISEPAにおいてもまずはじめに、 るには知識と経験が必要であるにも関 ために発足間もない2007年11月、 そこで、情報セキュリティ業界で大 わらず、その経験値を持った人材は非 東京において「情報セキュリティ人材 変お世話になっている方々に「業界横 常に少なく更には経験値を図る基準も 育成セミナー 秋」を開催いたしまし 断的な協力体制構築の必要性」につい 不明確であるというのが現状です。 た。発足から1ヵ月余り、事前の案内 てご相談したのです。お忙しい中時間 情報セキュリティ人材の不足は国も も万全というわけではなかったのです を取って意見交換させて頂いた方々 認識しており、政府の情報セキュリテ が、参加者は216名にのぼり、また は、本連絡会の発起人として名を連ね ィ政策会議において「第1次情報セキ その様子は19もの媒体にニュースと て頂いた、日本ユニシス(株)の長谷川 ュリティ基本計画」 、 「セキュアジャパ して取り上げられました。いかに 長一氏、NRIセキュアテクノロジーズ ン2007」 、 「人材育成・資格制度体系 ISEPAの取り組みが待ち望まれてい (株)の関取嘉浩氏、セキュリティ・エ 化専門委員会報告書」などにおいて人 たか、改めて認識を強くした次第です。 デュケーション・アライアンス・ジャ 材育成の重要性と基本方針が示されて 現在、ISEPAではスキルWG、相互 パン(SEA/J)の小林佑光氏、日本ネッ います。 認証WG、イベントWGと3つのWG トワークセキュリティ協会の安田直義 しかしながら情報セキュリティ人材 氏、また政府の考える人材育成等につ の必要性は理解が徐々に進みつつあり 第1回ISEPAカンファレンスとして、 いては内閣官房情報セキュリティセン ますが、自組織に合わせた人材育成を 10月からの活動内容をご報告し、そ ターの川野真稔氏、横断的な協力体制 どのように行えば良いかという方法に れに対して参加者の皆さんとディスカ 構築等について多くの知見をお持ちの 関しては情報が不足していると言える ッションをしようと考えています。参 (株)ディアイティの下村正洋氏です。 のではないでしょうか。 加型のイベントです。情報セキュリテ また本連絡会の設立に関しては、内 が活動しています。2008年3月には ィ教育のイベントとしては類を見ない 閣官房情報セキュリティセンター・経 また、情報セキュリティ教育の現場 済産業省・総務省へ説明に出向き、ご に目を移して考えてみますと、様々な 理解を頂くと共にご協力頂けることに セミナーや資格が立ち上がって来てい そのほか、各WGの成果については なりました。 ます。しかし一方で人材育成をしたい できる限り皆さんに開示し、ご意見を その後「準備会」を発足させ数ヶ月 企業や組織サイドから見ると一体何を 取り入れながら進めていきたいと思っ に渡り意見交換を行い、関係機関及び 指標に情報セキュリティ人材を育成し ていまので、ぜひご注目・ご支援いた 組織にも参加を要請し2007年10月 て良いのかが分からないという現実が に「情報セキュリティ教育事業者連絡 あります。教育や資格を提供している 会(ISEPA) 」が正式発足したのです。 我々も提供資格の位置付けやキャリア ISEPAの目的とは 日々進化を続け利用人口も増加を続 形ではないかと思いますので、ぜひご 期待いただきたいと思います。 だきますよう御願いいたします。 〈株式会社ラック/(ISC)2 与儀大輔〉 パス形成においても共通した認識や協 ■ISEPAの情報については、下記の 力体制が確立出来ていないのが現状で URLをご参照ください。 はないでしょうか。 http://www.jnsa.org/isepa/index.h 2007年2月末に産学官連携の初の tml 15 REPORT ユーザ事例 富士通株式会社 2年間で100名のCAIS資格登録者を育成へ 人 情 材 報 育 セ 成 キ 、ュ 資 リ 格 テ 取 ィ 得 の を 強 積 化 極 に 的 向 に け 推 進 16 富士通は、機密保持のポリシーを明確に打ち出したThe FUJITSU Way 「行動の規範」や「情報管理規程」 「個人情報管理規程」 「他社秘密情報管理 規程」など7つの情報管理関連規定に則って、ISO27001、及び経済産業 省の情報セキュリティ監査制度をベースにした「富士通情報セキュリティ管 理マニュアル、監査マニュアル」を作成し、情報セキュリティの強化に積極 的に取り組んでいます。具体的には、全社的な情報セキュリティ管理体制 の構築をはじめ、複数の部門およびグループ会社による公的認証の取得、 情報セキュリティ教育など富士通グループ内部の強化を推進しています。 また、取引先に対しても情報セキュリティ説明会の開催や監査の実施に力 を注いでいます。そこで、情報セキュリティの強化に不可欠な人材育成へ の取り組み、情報セキュリティ関連資格の中でCAISに着目した理由につい て、情報セキュリティセンター セキュリティ監査部部長 西見俊彦氏に お話を伺いました。 総合ベンダーとして全方位の 総合ベンダーとして全方位の 情報セキュリティ事業を展開 情報セキュリティ事業を展開 富士通グループにおける情報セキュ リティへの取り組みについて教え てください。 西見氏 富士通は、総合ベンダーと して、お客様のニーズにマッチする セキュリティ製品、コンサルティン グ、サービスなどを最適なソリュー ションという形で提供しています。 また、最近は情報セキュリティに関 連した公的な認証資格を取得する企 業が増えていますが、当社もプライ 富士通株式会社 セキュリティソリューション本部 情報セキュリティセンター セキュリティ監査部 部長 西見 俊彦 氏 バシーマークや、複数の部門および いますが、富士通およびグループ会社 グループ会社でISMSの認証を取得 では、社内規定を遵守した適正な情報 し、ビジネスの幅を広げ、深めてき 管理・活用を推進する方針のもと、 ました。私が所属する部署は、情報 情報セキュリティの強化に時間をか セキュリティ監査を主体としていま けて取り組んできました。業界標準 すが、社内監査をはじめ、監査人の教 やガイドラインの遵守と富士通独自 育、育成を担っています。昨今、社内 の基準を併せて作成した「富士通情 統制、内部統制がキーワードとなって 報セキュリティ管理マニュアル、監 USER'S CASE STUDY 査マニュアル」はその成果の1つです。 500人の監査人を育てる社内教育を プ内で3回の「差分研修+トレーニン それに則って各本部、グループ会社 実施しており、社内教育としては グ」を実施し、60名が受講する予定 では情報セキュリティ管理体制を構 「情報セキュリティ監査人の基礎教 になっています。この研修を2008 築し、情報セキュリティ施策を推進 育」、「情報セキュリティ監査人の実 年度に継続し、2年間に100名の しています。また、社内だけでなく 践教育」を行なっています。 CAIS資格登録者を目指します。 お取引先様においても、情報セキュ 今後は600人、700人とより多く リティ説明会を2006年9月から の監査人の育成を目指していますが、 ありませんし、富士通の内部監査を 2007年1月までに53回開催し、約 監査人を育成していく過程において、 実践するための社内教育と監査制度 2300社が参加。取引先の情報セキュ 公的資格の取得も重要です。昨今、 に則った標準的な監査技術を学ぶ リティ対策状況の監査も、2006年4 官公庁の入札要件にはシステム監査 CAISの研修とでは狙いが異なるた 月から2007年3月までに約560社が 人やISMS審査員、JASAの「公認情 め、その差分について学習する必要 実施するなど、外部との連携にも積極 報セキュリティ監査人(CAIS)」の があります。このため、富士通では 的に取り組んでいます。 資格などを明記されるケースが増え 合格率アップのため、事前に勉強で ています。富士通内で今後、部門間 きるよう独自の予習テキストの配布 情報セキュリティ管理に不可欠な監 情報セキュリティ管理に のクロス監査を行う、またビジネス や、JASAホームページの例題など 査人の育成 不可欠な監査人の育成 内部、外部監査に向けて「CAIS」に 内部、外部監査に向けて 注目 「CAIS」に注目 として情報セキュリティ監査を行う から模擬試験を作成するなど、受講 場合にスタンダードな監査の基準と 者を支援する体制を整えています。 技法を持っていることが必要です。 これにより、公的資格を持った監査 そこで、数ある資格の中から、それ 人が増えることで、内部から外部へ、 情報セキュリティ人材の育成に力 に最も合致しているCAISの資格取得 セキュリティのビジネスを拡大して を注いでいますが、監査人育成の を目指しました。 いきたいと思います。情報セキュリ 重要性と、数多くの情報セキュリ CAIS資格は簡単に取れる資格では ティ監査の必要性が今後高まること ティ関連資格の中でCAISに着目 2年間で100名のCAIS資格登録者を育成内部 2年間で100名のCAIS資格登録者を育成 は間違いありません。その際、セキ した理由をお聞かせください。 から外部へ監査ビジネスを拡大 内部から外部へ監査ビジネスを拡大 ュリティ監査人を多数擁することは 富士通にとって大きなアドバンテー 西見氏 富士通グループ内の情報セ 今後のCAIS取得の目標およびそ ジになると確信しています。 キュリティを推進していくには、 れを支援する体制、また多くの有 PDCAサイクルをしっかりと回さなけ 資格者の誕生によってビジネスが 最後にJASAへの期待、要望をお ればなりません。そのためには対策が どのように変化していくかをお教 聞かせ下さい。 正しくできているかをチェックする監 えください。 西見氏 査が必要となります。現在、ソリュー CAIS資格取得は、難しいか ションビジネスグループ(以下SBG) 西見氏 では、「セキュリティ委員会」を設置 礎、実践教育を実施していますが、 ないよう、合格者の質を保ちながら、 し、その決定事項に基づいてSBGの 多くのCAIS資格登録者を目指して、 数を増やしていくことを検討して欲 各部門の「情報セキュリティ管理責任 今年度下期より、JASAのご協力の しいですね。また、官公庁から民間 者」が情報セキュリティ推進施策を実 もと社内監査人教育を受講した人は、 企業まで情報セキュリティ監査の重 行し、施策の実行状況を「情報セキュ JASA公認情報セキュリティ監査人 要性をどんどんアピールして下さい。 リティ監査責任者」が監査する体制を 研修との差分研修およびトレーニン そのためには、保証型監査の早期確 構築しています。 富士通では監査人育成の基 もしれませんが、挑戦意欲が失われ グ(3日間)でCAIS資格取得の受験が 立、CAISの知名度向上なども必要で 当部署は、この組織運営のため、 可能となりました。2007年10月か しょう。今後のJASAの活躍に期待 各部門の監査人育成に取り組み、 ら2008年3月までに、富士通グルー しています。 17 保 証 型 情 報 セ キ ュ リ テ ィ 監 査 Q& A 2007年12月19日に東京・九段下で経済産業省/JASA主催 の「2007年度情報セキュリティ監査セミナー in TOKYO」が開 催されました。同セミナーで行われた公開討論会では保証型情報 セキュリティ監査について多くの事前質問が寄せられ、パネラー の回答に対しさらに会場から追加質問があがるなど活気に満ちた 討論会でした。また、2007年9月から日本各地で行われている 情報セキュリティ監査セミナーでも保証型監査への質問が寄せら れています。 そこで、保証型監査について多かった質問とその回答を採掲し ました。 Q ISMS適合性評価制度(以 準の情報セキュリティマネジメントを 下、ISMS)と保証型情報 要求しようとするケースを考えてみま セキュリティ監査(以下、 しょう。受託先がISMSの認証取得を 保証型監査)の違いは何ですか?特 していれば、ベストプラクティスのマ に、ISMSでも顧客などの要求事項 ネジメントシステムをしていることが (期待)を考慮してセキュリティ水準 分かります。そこで業者選定を行う場 を決めることになっているので、 合に、ISMS認証取得の有無を業者選 ISMSの適合宣言書と保証型監査の言 定の一つの目安とすることはできます。 明書の違いは何処にあるのですか? しかし、機密性の高い情報を受託先に 提示しなければならない場合には、そ ISMSと保証型監査の最も の情報に関するセキュリティマネジメ 大きな違いは、ISMSが ントがどのようになっているかを、考 「情報セキュリティマネジ 慮する必要があります。場合によって メントシステムのフレームワークが基 は、受託先の経営者が決めたリスク受 準(JISQ27001)に適合している 容可能レベルでは不十分で、詳細な管 か」の評価を行うのに対し、保証型監 理策を追加する必要があるかもしれま 査は「情報セキュリティマネジメント せん。このように、委託者が「発注先 が利用者の期待水準を満たしているか の情報セキュリティ対策の設計や運用 を評価するという点です。 体制と運用状況が自らの期待に沿って A 情報セキュリティマネジメントの水 準について、ISMSではマネジメント るのが保証型監査といえるでしょう。 レビューで利害関係者からのフィード バックを考慮することが求められてい ISMSの適用宣言書は、自組織が利 ます。全ての利害関係者が納得できる 害関係者の要求を普遍化したレベルで 水準が得られればよいですが、それを 作成されるのに対し、保証型監査の言 保証することはできません。一方、保 明書は、監査報告書を利用する利害関 証型監査では、監査報告書の利用者の 係者の要求・期待をストレートに反映 要求を満たしていると判断された場合 したものと考えてもよいでしょう。監 には、それに保証を与えることができ 査(認証)対象のセキュリティ水準の るという違いがあります。 観点でISMS認証との違いを図にまと 業務委託契約の締結の際に、一定水 18 いるか」を知りたいという要求に応え めると、図1のようになります。 利害関係者が監査報告書を利用する目 的やその結果がもたらす効果によって 異なります。 次に、本題の保証型監査の対象市場 ですが、監査対象と報告書利用者の関 係で考えてみますと、図3のように整 理できます。その中で、【1】業務委 託型(管理責任がある重要情報の処理 を被監査主体にゆだね、被監査主体と 利用者とのリスク認識共有が担保され ていない領域)が最も切迫したニーズ があると思われます。業務委託型では、 監査の役割が、両者の信頼関係を単に 強化するというより切実で、委託元が 本来許容できるリスクレベル以下に委 託先での当該情報の取り扱いがコント ロールされるかどうかを確認する必要 図1 ISMS認証と保証型監査の違い Q 保証型監査を受けるメリッ ネジメントに依存し、管理策の設計 トがある対象市場(業種や 並びに実装状況を確認することを目 業界など)は具体的には何 的に監査するケース 処が考えられますか?3つ の方式それぞれについて教えて下さ い。 A ③ 社会的合意方式 利害関係者が被監査組織のリスクマ ネジメントに当事者として直接的に まず、保証型監査では、被 関与せず、被監査組織の主体的なセ 監査組織のリスクマネジメ キュリティ管理の出来栄えを確認す ントに利害関係者(顧客な ることを目的に監査するケース ど報告書利用者)が当事者としてどの 程度関与するかによって監査方式が異 以上3方式のどれを選択するかは、 があるものです。例えば、専門業者へ の業務委託や消費者や市民が企業や団 体に個人情報を預ける場合などが想定 できます。 業務委託が1対1を基本とすると、 委託元と委託先の関係が対等であるか どうかで、採用する監査の方式が異な ってきます。両者の関係が対等であれ ば利用者合意方式であろうし、市民が 行政に情報を委託するなどというよう に多対1の関係であれば社会的合意方 式になるでしょう。 なり、以下の3方式に分類されること から説明しましょう。 ① 被監査主体合意方式 利害関係者が被監査組織のリスクマ ネジメントに当事者として主体的に 関与し、具体的に要求した管理策の 実装状況を確認することを目的に監 査するケース ② 利用者合意方式 利害関係者が被監査組織のリスクマ ネジメントに当事者として関与する も、被監査組織の主体的なリスクマ 図2 利用者にとっての保証型監査3方式の意味と使い分け 19 場合、監査人の責任は限りなく小さい と考えています。保証型監査は、あく までも監査をした時点、あるいは期間 内で、言明された対策が正しく行われ ていたことを保証するに過ぎず、それ が今後も続くかどうかはあくまでも 「推測」の域を出ないからです。早い話 が、監査終了後、経営者が交代し、言 明された対策がすべて変わってしまう かもしれない。そこまで監査人は責任 をもてない、という風にご理解いただ ければと思います。 それでは、監査の対象期間中あるい は以前に、監査の範囲内で事故が起こ っていたことが監査終了後に発見され た場合はどうでしょうか。これもケー 図3 被監査主体と報告書利用者の関係 大組織が小組織に情報管理を委託す る場合、例えば本社が定めたセキュリ ティポリシーやスタンダードが適用さ 間内に事故が発生した場合、これは当 然保証を与えることができません。 監査の対象期間外に、監査の対象範 れる企業グループ内、本社と子会社、 囲外で起こった事故について、これに あるいは子会社間などで重要な情報の は監査人の責任は全くありません。 処理をゆだねる場合などには、被監査 監査の対象期間後に、監査の対象範 主体合意方式が実際的ですし、最も合 囲内で事故が起こった場合、これもそ 理的といえます。 の事故の程度によって監査人の責任が 保証型情報セキュリティ監査を受け 問われる場合があるでしょうが、正し るメリットのある対象市場を具体的に く監査手続を作成し、それを被監査主 整理すると表1のようになるでしょう。 体あるいは利用者と合意しており、な スバイケースなのですが、この場合に おいては、まま裁判になるでしょうか ら、監査人は自己の監査が正しく行わ れたことを立証しなければなりません。 そのためにも、監査の手続きについて はいちいち明らかにしておく必要があ るのではないかと考えています。 保証型情報セキュリティ監査は、今 まさに始まったばかりなので、今後裁 判の判例などが積み重なっていくのを 待つしかないかもしれません。 おかつ監査に手を抜くことがなかった Q 基本的な質問なのですが、 そもそも保証型監査とは 「誰が」保証するものなの でしょうか?また、保証型 監査実施後に情報セキュリティ事故 が起こった場合に監査人にはどこま 市場/顧客の特性 社会的合意方式 A 利用者合意方式 ・高い情報セキュリティ ・データセンターなど運 を確保している事業者 用サービス ・多くの顧客を対象とし、 情報セキュリティを売 まず、 「そもそも保証型監査 との問いですが、これは監 公式の合意形成の場が存 ・地方公共団体 在するケース での責任があるのでしょうか? とは『誰が』保証するのか」 具体的顧客像 り物としている事業者 被監査主体合意方式 厳しい情報セキュリティ ・個人情報加工・処理サ を要求する特定の企業と ービス(IDカード作成、 査人が保証します。 その企業の要求に基づい ダイレクトメール発送 次に、保証型監査実施後に生じた事 て情報セキュリティ対策 代行等) 故に対する監査人の責任については、 いくつかの場合に分けて考える必要が あると思います。まず、監査の対象期 20 を行う事業者など ・先端製造メーカの協力 会社 表1 保証型監査の顧客像(早期に立ち上がりが期待されるもの) 情報セキュリティ関連制度・法律・ ガイドラインの改定・改正など ■ 基本方針(Security Eye Vol.8発行以降) 名称 概要 ITによる地域活性化等緊急プログラ ム骨子 ITによる地域活性化と豊かな暮らしに向けた施策の骨子。IT人材育成、 平 成 1 9 年 1 1 インフラ整備のほか、中小企業、地場産業対策など 月7日 発行日 作成 参考URL IT戦略本部 http://www.kantei.go.jp/jp/singi/i t2/kettei/071107gaiyou.pdf ■ 政府機関の情報セキュリティ対策のための基本方針・指針(Security Eye Vol.8発行以降) 名称 概要 発行日 作成 参考URL 政府機関の情報セキュリティ対策のた めの統一基準(第3版) (案) 政府機関全体の情報セキュリティ対策を強化・拡充するための対策と対 策の基準 2007年12月 12日 情報セキュリティ 政策会議 http://www.nisc.go.jp/conferenc e/seisaku/dai15/pdf/15siryou0 302.pdf ■ 情報セキュリティに関連するガイドラインなど(Security Eye Vol.8発行以降) 名称 概要 施行日 作成 参考URL 地方自治情報管理概要 地方公共団体における行政情報化の推進状況調査(平成19年4月1日現 在)等の取りまとめ結果 平成19年9月 21日 総務省 http://www.soumu.go.jp/snews/2007/pdf/070921_3_all. pdf システム管理基準追補版(財務報告に かかわるIT統制ガイダンス)追加付録 システム管理基準追補版(平成19年3月30日公表)を活用している企 業が、、内部統制を整備、運用する上での更なる参考資料を提供するた めの付録版。、財務会計パッケージソフトウェアを使用している場合の IT統制の評価に有用と思われるベンダーへの質問項目の例示等からなる 平成19年12 月26日 経済産業省 http://www.meti.go.jp/press/20 071226006/01_press_IT.pdf 地方公共団体における外部監査制度に 関する調査の結果 地方公共団体における外部監査制度に関する調査の結果 平成19年12 月28日 総務省 http://www.soumu.go.jp/snews/2007/071228_1.html ■ 民間団体・協会ガイドライン(Security Eye Vol.8発行以降) 名称 概要 発行日 作成 参考URL 情報サービス産業 個人情報保護ガイド ライン(第4版) JIS Q 15001:2006準拠したJISAプライバシーマーク付与認定 審査基準 ー 社団法人情報サ ービス産業協会 http://www.jisa.or.jp/legal/privac y_protect_guideline.html プライバシーマーク制度設置及び運営 要領 プライバシーマーク制度の運用における欠格レベルに応じた措置の区分 と欠格レベルの判断基準 平成19年11 月1日 財団法人日本情 報処理開発協会 http://privacymark.jp/news/200 71101/youryoukaisei_071101. pdf ■ 情報セキュリティに関するツール・報告書など(Security Eye Vol.8発行以降) ガイドライン名 概要 発行日 作成 参考URL 情報セキュリティ報告書モデル改訂版 平成17年に発表された情報セキュリティ報告書の改訂版。情報セキ ュリティ報告書の基本構成項目における記載が望ましい項目の明確 化、情報セキュリティ報告書の発行において想定される効果や留意事 項の追加、また、情報セキュリティ報告書記載イメージについて追加 平成19年8月 24日 経済産業省 http://www.meti.go.jp/press/20 070824004/20070824004.ht ml 情報セキュリティ対策ベンチマーク改 訂版 情報セキュリティ対策ベンチマークの評価項目を最新の国際基準に対 応したJIS Q27001:2006 の付属書A の管理目的及び管理策に基 づき見直し。その他、継続性や既存のデータ資産との整合性、平易な 言葉の使用と曖昧な表現の排除、企業内の部門単位の利用や公的機関 の利用への対応など" 平成19年8月 24日 経済産業省 http://www.meti.go.jp/press/20 070824004/20070824004.ht ml 情報セキュリティ対策ベンチマークバ ージョン3.0 情報セキュリティ対策ベンチマークにかかるセルフチェックのウェブ サイト 平成19年12 月18日 IPA(情報処理推進 機構) http://www.ipa.go.jp/security/be nchmark/index.html 情報セキュリティ対策ベンチマーク活 用集 情報セキュリティ対策ベンチマークと、ISMS認証や情報セキュリテ ィ監査との関係を具体的に示し、これらの評価を受ける準備段階での 手引き 平成20年1月 18日 独立行政法人 情報 処理推進機構/財団 法人 日本情報処理 開発協会/特定非営 利活動法人 日本セ キュリティ監査協会 http://www.ipa.go.jp/security/be nchmark/index.html 21 Information ■ 2007年度情報セキュリティ監査セミナー in OSAKA 2008年2月7日(木) 10:30∼17:00 大阪合同庁舎1号館 詳細はhttp://www.jasa.jp/seminar/secf2007lh/sec_osaka.html ■ 2007年度情報セキュリティ監査セミナー in FUKUOKA 2008年3月7日(金) 13:30∼16:30 福岡商工会議所 詳細はhttp://www.jasa.jp/seminar/secf2007lh/sec_fukuoka.html ■ 被監査主体向け情報セキュリティ監査アンケートを実施 JASAでは、被監査主体向け情報セキュリティ監査を下記の期間に実施いたします。 アンケートご回答者には、2008年度のセミナーの優先告知などのご優待特典があります。 ○アンケート期間:2008年2月10日∼2月28日(予定) ○アンケートURL:http://www.jasa.jp/questionnaire/question08.html お願い Security Eyeでは、 皆様の悩みを募集しています。 ●重要法令記事作成協力(敬称略・50音順) 岡嶋真一(株式会社ナニワ計算センター) 前田光雄(合同会社エム・アットケイ) 横田貴文(株式会社STNet) ●広告掲載社一覧(50音順) 日立情報システムズ 表2 ディアイティ P25 富士通 P26、27 マカフィー P28 リコー・ヒューマン・クリエイツ P29 SEA/J 表4 ●制作スタッフ ・エディター 藤平忠史 ・ライター 木村春生 ・デザイナー 小森秀彦 京田信子 ・カメラマン 福島幸二 ●広告出稿のお問合せ 株式会社オールウィズ 3 03-3535-7107 お差支えのない範囲で、情報セキュリティ監査で困っていることなどをWeb からお寄せください。 http://www.jasa.jp/se-koudoku/index.html# ※全てのご質問に個別にお答えするわけではありません。あらかじめご了承ください。 コラム提供:株式会社イトーキ:オフィスセキュリティソリューションブックより掲載 22 公認情報セキュリティ主任監査人がお勧めする “内部監査でお悩みの方への参考書” 情報セキュリティ概論 ■編著者:瀬戸 洋一 他 ■発行(出版社):日本工業出版 ■ISBNコード:978-4-8190-1917-0 ■価格:3,990円(税込) 近年、ITガバナンスの観点からあらゆ るコンプライアンスまで、要素ごとに章 る組織において情報セキュリティに対す を設定し、幅広く体系的にまとめられて る関心が高まっており、特に昨今では、 います。とりあげた内容が幅広い為、各 日本版SOX法に準拠した内部統制を構 章は概論を中心に展開しますが、要所で 築・運用する上で情報セキュリティ対策 理論的な解説にも力を入れており、充実 に注目が集まっています。 した内容となっています。 情報セキュリティ対策とひとくくりに 特筆すべきは、各章の最後に演習問題 言っても、これまでの情報を隠すといっ が用意されておりそれらをクリアするこ た暗号技術に重点をおいた捉え方から、 とにより理解を深めることが可能な点で 個人情報保護の問題、人物の認証の問題 す。本書自体が大学の半期の授業に沿う など非常に広範囲な課題を扱うことが求 ような章構成にされている点も踏まえ められつつあり、情報セキュリティに携 て、講義テキストとしての利用に適して わる者にも幅広い知識が求められている いると思われます。さらに本書では、参 のが現状です。 考文献の紹介に力を入れているのも特徴 本書は、情報セキュリティの第一線で です。読者は各章をより専門的に理解す 活躍する方々が執筆した、網羅的に情報 る為に参考文献をひも解くことが容易に セキュリティ技術の概論を解説した一冊 出来ます。 であり、14章で構成された各章では、 評者 永木 規善 公認情報セキュリティ主任監査人 西日本電信電話株式会社 法人営業本部 ソリューションビジネス部 セキュリティサービス推進室 勤務 情報セキュリティ監査やセキュリティポリシー策定を中心と したセキュリティコンサルティング業務に従事している。 情報セキュリティアドミニストレータ、ISMS審査員 情報セキュリティ監査 公式ガイドブック ■編著者: 大木栄二郎/監修 日本セキュリティ監査協会/編 ■発行(出版社):日科技連出版社 ■ISBNコード:978-4-8171-9246-2 ■価格:5,250円(税込) 評者 桃井 義雄 公認情報セキュリティ主任監査人 桃井IT技術士(情報工学部門)事務所 代表 経営・技術・セキュリティ・危機管理・コンサルタント 関東学院大学非常勤講師/研修機関−情報セキュリティ担当講師 IBM時代に親会社の研究所と連携し、培ったノウハウを活用し、情 報セキュリティのコンサルティングと監査/審査を実践している。 JASA保証型監査促進プロジェクト Gタスクメンバー ISMS主任審査員 本書は、これからセキュリティ製品を 最初に情報セキュリティの全体像を示 開発する技術者の入門書として執筆され し、以下、デジタル社会における暗号・ ていますが、内部・外部監査を実施する 認証技術、情報ハイディング、バイオメ 者にとっても情報セキュリティに関する トリック認証などの画像セキュリティ技 基礎的な知識を幅広く身につけることが 術をはじめ、コンピュータウイルスなど 出来る良書と言えるでしょう。 のマルウエア、情報セキュリティに関す この書は、情報セキュリティ監査制度 よって、監査の経済合理性を考慮する必 の普及・発展に寄与する自習書/教科書 要があります。さらに、ISMSと併行し になる内容で構成されています。第1章 て、別途、各組織、企業の成熟度に合わ の情報セキュリティ監査概論から、第6 せた情報セキュリティのレベル向上が必 章NPO日本セキュリティ監査協会と公 須となる社会環境にあります。助言型監 認情報セキュリティ監査人資格制度まで 査については、既に多くの企業等が を体系的にわかりやすく纏めています。 ISMS認証取得の準備段階で導入してお 本書は、これから情報セキュリティ監 り、適切な合理性のある監査で、何らか 査人を目指す人、実施している監査人、 の第三者のお墨付きは企業間にとって有 組織で内部監査に携わる人、組織で情報 効に働くでしょう。言明書と保証との関 セキュリティ対策をする人などには、福 係では、保証型監査について現時点で公 音であり座右の銘になるものと確信して 表されている内容は可能な限り網羅され います。 ています。但し、監査人、被監査主体及 経済産業省の三角情報セキュリティ政 び報告利用者との契約については年度末 策室長が、情報セキュリティ関連の教科 に発行されると聞いているガイドに反映 書が欲しいと言われていましたが、この されることを期待しています。 書はその一つになっており、本書末尾に 保証業務の位置付けでは、この保証型 掲載されている関連参考文献等も併せて 監査が、監査の分野では一歩リードする 一読されるとより効果的でしょう。 ことが予想されます。個人的な考え方と 情報セキュリティ監査ガイドブックブ して、格付け/ベンチマークとも関連性 ックの内容としては、特に保証型監査に が出てくると思われますが、 「財務諸表」 力を入れていることがわかります。 との関連付けも技術的には可能であり、 焦点をこれに絞って記述したい。保証 情報公開が待たれます。 型監査の対象が全体保証か部分保証かに 23 2008年度 Security Eyeが 変わります 無料Webマガジンに!! Security Eyeが創刊されてから3年……情報セキュリティ監査を取り巻く状況も大きく変 化してきました。 情報セキュリティ監査を取り巻く最新動向をタイムリーに情報をお届けし、さまざまなツー ルをダウンロードできるように、Security EyeはWebマガジン化することになりました。 ☆すべての方に……………………………………情報セキュリティ監査に関連する最新情報、有識者 の意見などをお届けします ☆情報セキュリティ監査を受ける側の方に ……今まで以上に監査の実施事例や監査人からのアドバ イスをお届けします ☆情報セキュリティ監査を実施する側の方に …技術情報、JASAの成果物の利用方法、監査を行う うえでのヒントなどお届けします ■ Security Eye Webマガジン:2008年4月より ■ 購読:無料 ■ コンテンツ: 1 特集 折々のホットな話題を特集 2 対談・座談会 情報セキュリティ監査をどのように利用するのが有効か…有識者によ る対談や座談会を通じて情報セキュリティ監査の可能性を探ります 3 リポート 市場動向、政府発表などの報告や、現場インタビューなど。情報セ キュリティ監査の現場状況をリポートします。 4 ユーザー事例 情報セキュリティ監査をどのように実施し、利用しているか。実例紹 介と情報セキュリティ監査人からのアドバイス。 5 解説(技術) 内部監査人向けに、情報セキュリティ監査の技法や手法を、情報セ キュリティ監査推進のキーマン向けに、監査を受けるために必要な知 識・手法などを解説。 6 解説(法律/制度) 内部監査人や、情報セキュリティ監査推進のキーマン向けに、情報セ キュリティ監査に関係する法律や制度をわかりやすく解説。 7 コラム 肩のこらない読み物。公認情報セキュリティ監査人資格取得者へのイ ンタビュー、情報セキュリティ監査に関係する図書の紹介、監査に関 係する言葉に対する簡単なコラムなどを紹介します。 8 資料 保存版資料としてお使いいただけるよう、情報セキュリティ監査に関 する政府・関係企業、団体の統計情報や制定・改正された法律や基準 の概要、資料原本へのアクセス情報などを紹介。 ※ 現在、Security Eyeの購読をお申込みいただいている方には、今号の送付が最後となります。今後はWebでご購 読いただきますよう御願いいたします。 詳しくは右記のURLをご覧ください 24 http://www.jasa.jp/se-koudoku/index.html 企業価値の向上を目指す「富士通の安心安全ソリューション」 情報セキュリティの有効性、効率性を確保する エンタープライズセキュリティアーキテクチャー 情報セキュリティガバナンスやコンプライアンスは、今日の企業の最重要 課題となっている。しかし、セキュリティ対策の強化に伴う運用・管理コス トは、増加の一途を辿っており、課題解決に向けたソリューションを求める 声が強まっている。富士通はそうした時代の要請に応えるために、セキュリ ティ対策の技術的な指針となる「エンタープライズセキュリティアーキテク 」を提唱。ESAに基づき、多様化するセキュリティニーズをワ チャー(ESA) ンストップで提供する製品、サービスを体系化することで、セキュリティ投資 の有効性、効率性の向上を目指す。 奥ソ 原リ ュ 雅ー 之シ ョ ン 企 画 部 部 長 富 士 通 情 報 セ キ ュ リ テ ィ セ ン タ ー トや機器が統制されないまま、場当たり的に導入されて 増大するコストを 増大するコストを削減 いるのが要因です」と、情報セキュリティの対症療法的 適正な投資に代える技術的指針 適正な投資効果を生む技術的指針 な取り組みが問題と指摘する。 セキュリティ対策は、製品の組み合わせや担当者の考 個人情報保護に対する意識の高まり、新会社法や日本 え方によって効果が大きく異なる側面を持っている。一 版SOX法に伴う「内部統制」の強化を受けて、企業の つ一つの対策に終始し、ゴールが見えないまま投資がな 情報セキュリティ対策は、早急に解決しなければならな された結果、バランスを失ったシステムは、リスクとム い課題となっている。 ダなコストを生んでいったのだ。 しかし、必要性は感じていても、企業の情報セキュリ ティの実態は、機器やソフトの導入コスト、運用・管理 コストがかさみ、ROI(投資対効果)が見えにくいなど、 コストへの不満を募らせる企業も少なくない。また、膨 大なパソコン関連機器の管理、対策が複雑かつ煩雑化し、 管理者の負担を増大させている。 最近は、プライバシーマークやISMS認証などを取得 する企業が増えているが、それでも情報漏洩、流出など の事件、事故は未だに後を絶たない。情報セキュリティ センター ソリューション企画部の奥原部長は、「これ だけ多くの企業で、ウイルス対策ソフトの導入、ファイ アーウォールやIDS(侵入検知システム)の設置、脆弱 性のあるプログラムへのパッチなどの対策が講じられて いるにもかかわらず、投資効果が上がらないのは、ソフ 26 そこで、システムの統一性、整合性を図り、技術的な が満載されている。 指針を明確にする“セキュリティの設計図”ともいえる これにより、本来ならば企業ごとに作成しなければな 「セキュリティアーキテクチャー」がいま注目を浴びて らないセキュリティアーキテクチャーのバイブルとし いる。必要な対策を設計図に沿って実施することで、投 て、他の企業でも活用、実践することができる。今春に 資効果と対策の適用性を高めることができる。 は、次バージョンの提供を予定しており、セキュリティ 「セキュリティアーキテクチャーは、情報セキュリティ 評価指標のような新しい内容や現在のコンテンツの改良 製品の選定をはじめ、製品の組み合わせ、設定、運用な などによって、具体的、実践的な手法がより充実すると ど、実装を考慮した技術的な指針です。ほとんどの企業 いう。 ではセキュリティポリシーが策定されていますが、技術の 観点でポリシーを持っている企業はまだほんの一部です。 富士通は、統合された技術的な指針となる『エンタープ さらなる進化に向けて製品を統制 さらなる進化に向けて製品を統制 最適なソリューションの提供を推進 最適なソリューションの提供を推進 ライズセキュリティアーキテクチャー(ESA) 』を体系化 し、それをベースに情報セキュリティを推進しています」 。 対症療法の情報セキュリティから最適な情報セキュリテ ィへ、企業の課題を解決する「ESA」にかかる期待は大 きい。 それに伴い、富士通はESAをベースにした製品群の 整備にも着手していく予定だ。 「セキュリティニーズに応える『富士通の安心安全ソ リューション』は、現在、ESAに沿った基幹製品を長 年培ってきた運用管理のノウハウを基に提供していま 「ESA」を文書化して提供 「ESA」を文書化して提供 管理策の状況を見える化 管理策の状況を見える化 す。今後は、製品間の連携をより高めることでシステム の完成度を高めていきます。適切な情報セキュリティ対 策の提案、構築、運用により、企業価値の向上につなが ESAは、標準的な技術に基づく「技術の視点」と、 る“情報セキュリティガバナンス”の実現を支援します。 投資効果の透明性「見える化(可視化)」をテーマに掲 お客様と一緒に有効かつ適正なセキュリティ投資を目指 げている。 すパートナーとなりたいと思っています」と奥原氏は意 「2つのテーマを実現し、ESAの理解をより深めても 気込みを語る。 らうために、『富士通のエンタープライズセキュリティ また、情報セキュリティ対策が正しく機能しているか アーキテクチャー』という技術文書を作成して無償提供 をチェックする監査についても、「基準に沿って監査す しています。(富士通セキュリティソリューション公開 るだけでなく、今後はお客様の課題を解決する、経営課 ページ:http://segroup.fujitsu.com/secure/ 題に切り込める監査が求められてきます。信頼性、機密 solution/esa/index.html#dl)ホームページにも内容 性、可用性にいつまでも捉われるのではなく、投資の有 を公開しており、企業全体の視点から継続的なセキュリ 効性、効率性を追求していく視点が必要になるでしょう」 ティ対策を行ううえで重要な『認証およびアイデンティ と、対策の適用性にさらに磨きをかけていくという。 ティマネジメント』 『アクセスコントロール』 『証跡管理』 『集中管理』といった4つのセキュリティ要件を中心に ESAに基づいた構築、運用手法などを解説しています」 。 実際に、認証技術の選択の考え方や、 異なる性質をもつ監査ログ の整理方法などの“How to” 富士通のエンタープライズ セキュリティアーキテクチャー 総合ベンダーとして、セキュリティソリューションを ワンストップで提供する富士通。その先にある“幸せに なるためのセキュリティ投資”に向けて、今後のさらな る活躍に期待が高まる。 □ 問合せ先 富士通株式会社 サービスビジネス本部 安心安全ビジネス推進室 TEL.03-6424-6264 FAX.03-6424-6451 http://fenics.fujitsu.com/outsourcingservice/security/ 27 Vol.9 2008 平成20 年2月5日 発行 特定非営利活動法人日本セキュリティ監査協会(JASA) [JASA事務局]〒103-0025 東京都中央区日本橋茅場町2-8-4 全国中小企業会館5階 Tel. 03-5640-7060 Mail [email protected] ISSN 1880-6910
© Copyright 2024 ExpyDoc
