経営者の方情報セキュリティマネジメントとPDCAサイクル

本文を印刷する

情報セキュリティマネジメントとPDCAサイクル

リスクへの対応

リスクへの対応(概念図)リスクへの対応(概念図)

リスク対応では、リスク評価の作業で明確になったリスクに対して、どのような対処を、いつまでに行うかを明確にします。対処の方法には、大きく分けて「リスクの低減」「リスクの保有」「リスクの回避」「リスクの移転」の4つがあります。

(1) リスクの低減
「リスクの低減」とは、脆弱性に対して情報セキュリティ対策を講じることにより、脅威発生の可能性を下げることです。ノートパソコンの紛失、盗難、情報漏えいなどに備えて保存する情報を暗号化しておく、サーバ室に不正侵入できないようにバイオメトリック認証技術を利用した入退室管理を行う、従業員に対する情報セキュリティ教育を実施するなどがあります。

(2) リスクの保有
「リスク保有」とは、そのリスクのもつ影響力が小さいため、特にリスクを低減するためのセキュリティ対策を行わず、許容範囲内として受容することです。「許容できるリスクのレベル」を超えるものの、現状において実施すべきセキュリティ対策が見当たらない場合や、コスト(人、物、金等)に見合ったリスク対応の効果が得られない場合等にも、リスクを受容します。

(3) リスクの回避
「リスク回避」とは、脅威発生の要因を停止あるいは全く別の方法に変更することにより、リスクが発生する可能性を取り去ることです。例えば、「インターネットからの不正侵入」という脅威に対し、外部との接続を断ち、Web上での公開を停止してしまうような場合や、水害などの被害が頻繁にあり、リスクが高いため、そのリスクの低い安全な場所と思われる場所に移転する、などが該当します。リスクを保有することによって得られる利益に対して、保有することによるリスクの方が極端に大きな場合に有効です。

(4) リスクの移転
「リスク移転」とは、リスクを他社などに移すことです。例えば、リスクが顕在化したときに備えリスク保険などで損失を充当したり、社内の情報システムの運用を他社に委託し、契約などにより不正侵入やウイルス感染の被害に対して損害賠償などの形で移転するなどが該当します。しかし、リスクがすべて移転できるとは限りません。多くの場合、金銭的なリスクなど、リスクの一部のみが移転できます。

管理策の選択

対策基準を一から自社で作り上げるのは大変な作業になりますので、世の中にある管理策集や対策基準を参照し、それをもとに自社の実情にあわせてカスタマイズする場合があります。この場合、世の中には対策基準の雛型や管理策集と言われるものが多く存在しますので、それらの中からどれを参照するのか(何を雛型として選ぶのか)、それをどのようにしてカスタマイズするのか、ということが重要な課題となります。

(参考)セキュリティ管理策の全体(概念図)
(参考)セキュリティ管理策の全体(概念図)

ISO/IEC17799:2005

よく参照される管理策集は、2000年に国際標準となったISO/IEC17799です。

ISO/IEC17799 は、2005年に改訂、JIS化されて、「情報技術-情報セキュリティマネジメントの実践のための規範(JIS Q 27002:2006)」(2006年5月発行)となりました。ISO/IEC17799:2000には、10の管理領域と127の管理策があり、2005年に改訂されたISO/IEC17799:2005には、11の管理領域と133の管理策があります。管理策はcontrol(コントロール)の訳語ですので、管理策を「コントロール」と呼ぶこともあります。この133のコントロールは、さらに1000近くのサブコントロールに詳細化できます。図に、2000年版と2005年版の管理領域を示します。

ISO/IEC17799は情報セキュリティ対策におけるベストプラクティスを集めた管理策集です。これらの管理策の中から、自組織にあった管理策を適宜選択します。133の管理策それぞれに、実施の手引きや関連情報が記載されています。

11の管理領域と133の管理策

NIST SP800-53 連邦政府情報システムにおける推奨セキュリティ管理策

SP(Special Publications)とは、NISTが発行する情報セキュリティ関係のシリーズ文書で、セキュリティ技術、セキュリティマネジメントなどを幅広く網羅しており、約100件のSPシリーズ文書がNISTのホームページ上で公開されています。NISTのSPシリーズで、推奨管理策を掲載しているものは、SP800-53 Recommended Security Controls for Federal Information Systems(連邦政府情報システムにおける推奨セキュリティ管理策)という文書です。 ISO/IEC17799は情報セキュリティ対策におけるベストプラクティスを集めた管理策集ですが、SP800-53は、そのタイトルが示す通り、米国連邦政府機関が情報セキュリティ対策を行なう際に推奨される管理策とその適用方法について記載しています。SP800-53には、17の管理策ファミリ(管理領域と同様の意味)と160を超える管理策があります。図に17の管理策ファミリと管理策の構造を示します。NIST SP 800-53に示す管理策ファミリは、管理、運用、技術の3つの管理策クラスのいずれか1つと関連付けられていますが、セキュリティ管理策の多くは複数のクラスに関連付けることができるため、クラス分けは便宜的なものです。例えば、図にした緊急時対応計画(CP)は運用に分類されていますが、「CP-1緊急時対応計画の方針と手順」は運用及び管理両方の特性を持っています。

17のファミリと163の管理策
SP800-53の管理策-ファミリ、クラス、識別子(CP関連)

SP800-53で特徴的なことは、セキュリティレベルの低・中・高に応じて、選択すべき管理策が推奨されているということです。これにより、セキュリティ要求レベルが高いシステムには高度なセキュリティ対策が、低いレベルにはそれ相応の対策が選択できます。

シリーズNo. タイトル
SP 800-53 連邦政府情報システムにおける推奨セキュリティ管理策
Recommended Security Controls for Federal Information Systems
第2章:セキュリティ管理策の選択と特定に関連する基本概念
管理策の分類(管理策の構成と分類)、共通管理策と最低限の管理策
管理策の有効性評価
第3章:セキュリティ管理策の選択と特定のためのプロセス
組織のリスクマネジメントとベースライン管理策の選択、管理策の補正
付録:管理策の選択、特定に関する詳細な情報を提供
定義及び用語、セキュリティレベル低・中・高それぞれの情報システムに対する最低限の管理策一覧、管理策の基本カタログ、他の標準の管理策への対応表
  SP 800-53
Annex1
連邦政府情報システムにおける推奨セキュリティ管理策
セキュリティレベル低における必要最低限の管理策
Recommended Security Controls for Federal Information Systems Minimum Security Controls/Low Baseline
SP 800-53
Annex2
連邦政府情報システムにおける推奨セキュリティ管理策
セキュリティレベル中における必要最低限の管理策
Recommended Security Controls for Federal Information Systems Minimum Security Controls/Moderate Baseline
SP 800-53
Annex3
連邦政府情報システムにおける推奨セキュリティ管理策
セキュリティレベル高における必要最低限の管理策
Recommended Security Controls for Federal Information Systems Minimum Security Controls/High Baseline

SPシリーズ文書は立体的な構成になっています。管理策集としてSP800-53がありますが、それぞれの管理策を実行に移すために、より詳細なガイドラインが用意されています。例えば、SP800-53にはリスクアセスメントの管理策があり、それを実行に移すための詳細なガイドラインには、SP800-30 Risk Management Guide for Information Technology Systems ( ITシステムのためのリスクマネジメントガイド)が、CP(緊急時対応計画)の管理策を実行に移すための詳細なガイドラインは、SP800-34 Contingency Planning Guide for Information Technology Systems(ITシステムのための緊急時対応計画ガイド)が提供し、IR(インシデント対応)の管理策を実行に移すための詳細なガイドラインには、SP800-61 Computer Security Incident Handling Guide (コンピュータインシデント対応ガイド)とSP800-83 Guide to Malware Incident Prevention and Handling (不正プログラムインシデント防止・対応ガイド)るといった具合です。なお、IPAホームページ上で、NIST SPシリーズ文書の翻訳を公開しています。

【政府機関の情報セキュリティ対策のための統一基準】

2005年12月には、「政府機関の情報セキュリティ対策のための統一基準」(政府機関統一基準)が策定されました。これは、日本の政府機関が情報セキュリティ対策を行うにあたっての対策基準を定めたもので、政府機関のために策定されたものです。しかし、政府がどのような対策(管理策)を採用しているのかを見ることは、民間企業が自社のセキュリティ対策を考える上で、十分に参照できるものです。 対策基準文書はその解説も含め、内閣サイバーセキュリティセンター(NISC)のホームページに掲載されています。また、「政府機関統一基準とISO/IEC17799:2005等との対応について」という文書も掲載されています。これには、統一基準の遵守事項とISO/IEC17799:2005及びSP800-53の管理策の対応の一覧が示されています。