5.3 リモートアクセスに対するセキュリティポリシー
 リモートアクセスを許可する環境においては、通常のオフィス内とは違ったセキュリティの脅威が存在することに十分注意を払ってセキュリティポリシーを策定する必要があります。セキュリティポリシーとは組織が自らの情報を守るために決めた組織の方針をいいますが、内容的には組織の経営方針に匹敵する基本方針から、具体的なコンピュータへのアクセスの規則を決めた基準までが含まれます。これを図示すると以下の様になります。

リモートアクセス環境において、どのような観点からセキュリティポリシーを策定するかについては、5.3.3に述べます。
 

コース (A  B  C  D  E)

5.3.1 セキュリティポリシーの必要性と効果
1) セキュリティポリシーの必要性

インターネットの普及により、組織の保有している情報は基本的には組織内の誰からでもアクセスできるようになってきています。リモートから組織内部の情報へアクセスしたいという営業担当者などからの要請も強くなってきています。しかし組織の保有している情報の安全性はセキュリティ面からは非常に脆弱になっています。
 組織は自らの情報を守るために以下の観点からもしっかりとしたセキュリティポリシーを策定しなければなりません。
@ 第4の経営資源としての情報

・ コピーや変更が容易に行える
・ 盗聴や改ざんなどの被害を受けやすく、被害の状況が目に見えにくい
・ 情報の重要性は組織によって大きく異なる
・ 処理時間が短時間で、インターネットにより世界中に広がる
A 職場環境の大きな変化

 情報を扱う業務は、パソコンやネットワークの普及により、ネットワークを介して組織を超えた連携により進められるようになってきています。また、リモートアクセスの導入により、職場という従来の物理的な環境から抜け出し、ホームオフィスやサテライトオフィスなど空間的にも広がりをみせてきています。
B 組織のオープン化

 インターネットの普及により、職場のパソコンは組織の枠をはずれて、世界中の情報にアクセスできるようになってきました。また、逆に組織の情報システムは世界中からインターネットを通してアクセスされる環境におかれています。

情報セキュリティの向上は組織のトップから末端までがしっかりした方針の基に取り組まないと、その効果は少ないばかりか、かえってセキュリティを危うくする恐れがあります。また、セキュリティポリシーは一度策定されればそれで良いというものではなく、それを全従業員に徹底させ遵守させることが重要で、さらに環境の変化に応じて適宜見直しが必要です。
 
2) セキュリティポリシーの効果

セキュリティポリシー策定の効果として次のことが挙げられます。
@ 基本方針を公開することにより、顧客をはじめとする利害関係者の信用を得ることができる
A 目標が明確になり、現状とのギャップをつかむことができ、対策として何をすればよいかが明確になる
B 守るべき規範が明確になることにより、セキュリティ違反が抑制され、違反の事実が明確になる
C 自己診断により、さらなる改善の機会を得る
 

コース (A  B  C  D  E)

5.3.2 セキュリティポリシーの策定手順
(1) 策定にあたって考慮すべきこと

@ 策定体制の構築

 策定体制のトップは経営層になりますが、実際の策定メンバーはリモートアクセス利用者を含めてA以降の具体策を検討するグループを取り込んだ形で担当者が参加する方が実現しやすいポリシーができます。
A 適用範囲の決定
 業務内容や情報資産、情報システムの観点から範囲を限定する場合があります。この範囲は情報セキュリティの観点から、適切に決める必要があります。
B ビジネス特性を考慮
 ビジネスの特性により必要な情報セキュリティのレベルは大きく変わります。特に個人顧客を対象としたインターネットビジネスでは個人情報の漏えいは組織に致命的な打撃を与えます。また、情報提供の事業ではその情報完全性が非常に重要です。適用対象となるビジネスの特性を十分考慮したポリシー策定が必要です。
C リスクの分析結果を反映
 守るべき情報を明確にし、それに対するリスクの分析を行います。リスク分析を行うことにより、実在する脅威や脆弱性がよく見えてきます。例えばリモートアクセス環境においては、組織の情報を組織外に持ち出すことになり、電子データのほか、印刷された情報、情報を記憶した媒体などに対する脅威と脆弱性を検討することが必要となります。
D 実現の可能性
 いくら理想的でも実現できないポリシーは無意味で、実現の可能性のある範囲でのポリシーでなければなりません。
E 外部環境を考慮
 業界における他社の動向や業界全体の動向、法律の成立・施行、大きな契約などによって、情報セキュリティポリシーが影響を受ける場合があります。常に外部環境に注意を払い、ポリシーの変更の必要性がないかを検討することが重要です。特にインターネットを利用した技術・ビジネスは日進月歩で変化していますのでフォローが必要です。
 
2) 策定の手順

@ 基本方針の策定

 基本方針では、ビジネスの特性、守るべき資産、重視すべきセキュリティおよび目標などを明確にします。
A 情報資産の特定と分析
 基本方針に従って、具体的な情報資産を特定し、それに対する脅威と脆弱性を検討します。
B リスク分析
 特定された資産の脅威と脆弱性の程度からリスクの大きさを判断し、そのリスクが組織に与える影響の度合いを評価します。
C 対応方針と対応策の決定
 影響の大きさに従って対応方針を明確にし、具体的に取るべき対応策を決定します。
D 文書化
 決定した基本方針、対応策を含めて規定として文書化し、実施に移します。必要に応じて具体的な手順を決めた手順書などを作成します。

 

コース (A  B  C  D  E)

5.3.3 リモートアクセス環境におけるセキュリティポリシー

リモートアクセスを許可する環境においては、通常のオフィス内とは違ったセキュリティの脅威が存在することに十分注意を払ってセキュリティポリシーを策定する必要があります。具体的な内容はそれぞれの組織によって異なりますが、ほぼ次のような内容が含まれます。

@ 情報や情報システムを保存する物理的な設備や建物
 これはオフィス内とリモートアクセス環境では大きく異なるので、ポリシーとして明確にする必要があります。すなわちオフィスはビジネスを行うことに重点が置かれ、セキュリティに対する体制や対策がとりやすいのにに対して、リモートアクセス環境は、乗り物の中であったり、ホテル内や家庭内であり、物理的なセキュリティ対策が十分でないことを前提に考える必要があります。
A セキュリティを守るための体制
 通常のオフィス内では組織的な管理体制が作られていますが、リモートアクセスの環境では個人がセキュリティに対して責任を持たざるを得ません。そのため行動規範や連絡体制など、オフィス内以上に個人を管理する体制が必要になります。
B 情報の分類とその取り扱い基準
 リモートへ持ち出す情報についてはできるかぎり制限を加え、必要でない情報はオフィス外へ持ち出さないようにします。また持ち出す場合の取り扱い基準を明確にする必要があります。
C 情報システムの構築時の条件
 リモートアクセスを許容する情報システムの構築にあたっては、不正アクセスや情報漏えいのリスクが大きいことを考慮したシステムを構築する必要があります。ファイアウォールの構築の他、MACアドレス(ネットワークに接続される機器の固有ID)による接続端末の制限や、ログイン時の個人認証方法などを考慮したシステムの構築を行います。
D情報システムの運用管理基準
 リモートアクセス機器の運用基準やホストコンピュータへのアクセス基準などを明確に規定し、不注意などによる情報の漏えいや不正プログラムの導入などを防ぐようにします。利用者に対して決められた運用基準を守るように要求し、必要な教育を行います。
Eセキュリティインシデント(5.8.1参照)時の対応方法
 リモートアクセス環境におけるセキュリティインシデントの発生時には、利用者個人が責任のある行動を取らなければならないので、その対応方法を明確に規定しておく必要があります。インシデントの内容により、誰にどのように連絡をするか、どのような緊急処置を行うかを利用者がわかるように決めておきます。
 

コース (A  B  C  D  E)