はじめに
お客様と情報セキュリティについて話をするとき、よく話題になる事項が「情報セキュリティはどこまでやればよいか」ということである。これには実は、正解はない。しかし、多くのお客様は、何らかの回答を求めている。そこで、今回は私の考える「情報セキュリティ対策」についてご紹介したいと思う。
1.情報セキュリティ対策実施上の問題点
多くの経営者は、情報セキュリティ対策の必要性は感じているものの、実行については迷っているのではないだろうか。情報セキュリティ対策は利益を生み出さない投資と捉え、「余り多くのコストをかけたくないが、万一事故を起こした場合の責任も心配」というのが、本音に近いのではないかと思う。
警察庁が平成17年1月に策定した「不正アクセス行為対策等の実態調査 調査報告書」によると、情報セキュリティ対策実施上の問題点の上位3項目は以下の通りである。(図参照)
- コストがかかりすぎる
- 費用対効果が見えない
- どこまで行えばよいか基準が示されていない
調査報告書(平成17年1月)」より筆者作図
実際、情報セキュリティ対策について経営者からしばしば相談を受ける事項が
- 同業他社はどこまで実施しているのか?
- どこまでの対策をしていれば、漏洩等の責任を取らなくても良いかを知りたい。
といったことである。 これらのことから、経営者は「情報セキュリティ対策として(最低限)実施すべき基準」を求めていると考えられる。
2.情報セキュリティ対策の基準について
情報セキュリティ対策の指標となる基準については、従来から検討されてきている。例えば、情報セキュリティマネジメントの国際規格であるISO/IEC17799(情報技術-情報セキュリティマネジメントの実践のための規範)は、経験から導き出された情報セキュリティ管理策を示し、組織が選択できる指標を提供している。国内では経済産業省が「情報システム安全対策基準」等の各種基準を提供している。また、業界団体が業界の特徴にあったガイドラインを作成しているケースもある。(表参照)
業界団体から多数公表されている)
規模や業態が異なれば、とるべき対策も異なってくる。各基準は目安となるが、全ての企業に共通的に適用できる基準ではなく、業種・規模等に応じた修正が必要である。そこで、情報セキュリティ関連の教科書では「リスク評価をせよ」と謳っている。リスク評価の結果に基づいて、とるべき対策を選択するのである。
3.リスク評価の落とし穴
リスク評価といっても、さまざまな手法がある。一般に良く用いられるのは、
- 詳細リスク分析
- ベースラインアプローチ
- 組合せアプローチ
といった手法である。
詳細リスク分析とは、守るべき情報資産の価値、脅威の大きさ、脆弱性の3つの要素を勘案してリスク値を算出する手法である。
ベースラインアプローチとは、基準となるセキュリティレベルをあらかじめ設定し、現状のセキュリティ対策とのギャップを明らかにすることによりリスク評価する手法である。
組合せアプローチとは、詳細リスク分析とベースラインアプローチを組合せたリスク分析手法であり、例えば重要資産は詳細リスク分析を、その他の資産はベースラインアプローチを行う。
リスク評価を行うと、どのリスクに対してコストを掛けるべきかが見えてくる。しかしながら、リスク評価については大きな問題点が2つある。
第1は、リスク評価が非常に難しいという点である。詳細リスク分析の場合、例えば情報資産の重要度等の評価基準を明確に設定しなければ、リスク評価をする人間によって結果が異なり、評価者次第でリスク値が変化してしまう恐れがある。
第2の問題は、リスク評価が出来たとしても、とるべき対策が決まるわけではないという点である。どこに対して手を打つべきかがわかっても、どの程度まで情報セキュリティを強化すればよいかは、費用対効果を勘案して決めることになる。どの程度情報セキュリティ投資を行うべきかの判断基準は、リスク評価だけでは得られない。
4.経営戦略に基づく情報セキュリティ投資
それでは、如何にして情報セキュリティ投資を決定すればよいか。そもそも企業活動における投資は、経営戦略を実現するための経営資源の分配であるといえる。情報セキュリティ投資も、経営戦略に基づく情報戦略の一部であり、戦略的情報化投資の一つと捉えることができる。
セキュリティと名前がつくと、「守ること」というイメージが強く、漏洩防止対策を中心に考えがちであるが、本来情報セキュリティとは、機密を守ることだけではない。
ISO/IEC17799の定義によると、情報セキュリティとは「情報の機密性、完全性及び可用性の維持」となっている。機密性とは、許可された者だけが情報にアクセスできる状態をいい、漏洩防止などが該当する。完全性とは、情報や情報システムが完全である状態をいい、改ざん防止などが該当する。可用性とは、必要なときに情報を使える状態をいい、障害防止などが該当する。
すなわち、機密性、完全性、可用性の3つがバランスよく保たれた状態が、情報セキュリティが確保された状態といえる。
経営戦略に基づく情報セキュリティ実現のためには、「経営上重要な情報」を把握した上で、リスクに応じた対策をとることがポイントである。情報資産を機密性、完全性、可用性の3つの観点から評価し、情報の重要度とリスクの大きさに応じ、情報セキュリティ投資を決定する。情報資産を評価する際に忘れてはならないことは、その資産の「経営への貢献度」である。経営目的を達成するために必要不可欠な資産には、「完全性」や「可用性」がより強く求められるはずだからである。
おわりに
平成17年3月、経済産業省は「企業における情報セキュリティガバナンスのあり方に関する研究会 報告書」を策定、公開した。この中で、「情報セキュリティ対策ベンチマーク」の策定が提言されている。経営者は、経営ビジョンとして自社が目標とする情報セキュリティのレベルを設定し、「情報セキュリティ対策ベンチマーク」をセルフチェックツールとして活用することで、情報セキュリティ対策の適正水準を認識し改善実施に役立てようとするものである。
また、ISOでは情報セキュリティマネジメント規格として、現在のISO/IEC17799を統合する形で、ISO/IEC27000シリーズの策定が検討されている。
今後は、このようなツールや国際規格が情報セキュリティ投資を検討・決定する際の指標になり得ると期待している。