米国における
情報セキュリティー問題の現状-7-

　企業の情報セキュリティを確立する上で、「情報セキュリティ・ポリシー」の作成が必要不可欠の手続きであることは、専門家の間でかなり以前から指摘されている。情報セキュリティ・ポリシーとは、企業がIT資産の安全を確保するために守るべき方針と手続きを明文化し、具体的な基準を記した文書である。自社にとっての情報セキュリティの概念を正式に定義するとともに、IT資産の保護に対する基本的な考え方を全社に徹底させる上で、セキュリティ・ポリシーの役割は極めて重要と言える。しかしそれにも関わらず、現実には、セキュリティ・ポリシーを作成していないという企業も多い。また、一応のセキュリティ・ポリシーを掲げている企業の中でも、現場での活用や定期的な改訂となると、実行しているところはほとんどないというのが実状である。これには、当該ポリシーが、企業の実状から離れてしまっていたり、実行するにはあいまいすぎたり、あるいは厳しすぎたり、罰則もなくシステム利用者に徹底されていなかったりなどいろいろな要因があり得よう。しかし、適切に作られたポリシーが企業のIT資産防衛における効果的な土台となり得ることは、各種の研究によって裏付けられている。情報セキュリティ・ポリシーの性質は会社によって様々であるため、あらゆる企業に共通した万能の作成手順というものは存在しないが、以下に、成功するポリシー作りのための基本的ステップと付随する問題点を挙げてみよう。

(1)ポリシー立案段階
1 理想的な情報セキュリティ・ポリシー作成に向けての最初のステップは、当たり前のことであるが、ポリシー作成を担当する者を決定することである。情報セキュリティは、社内技術スタッフ（各種の方針の実現手段やその帰結を理解する）とデシジョン・メーカー（決定したポリシーの実行を強制する権限を持つ）との共同作業を通して初めて達成される。従って、情報セキュリティ・ポリシーの立案にあたっては、その実行を可能にするためにも、両者のインプットが不可欠である。

2 全社的に適用されるポリシーを確立するにあたっては、ほとんど全ての社員が何らかの形で参加することが必要となる。社員が単なるコンピュータ・ユーザーであったとしても、個人のパスワード管理に責任を負わなければならないからである。従って、ポリシー作成作業の最初から、社内の様々な部門の代表者を議論に加えることが重要である。

3 立案過程で参加する社員を決定するのと並行して必要になるステップが、組織上の問題点の整理である。情報セキュリティ・ポリシーが目指しているのは、IT資産の理想的な活用法とセキュリティ上の問題発生を防止するための措置を明文化することにある。従って、自社が置かれている環境や前提を具体的に把握することが必要なのである。

4 この段階で考慮しなければならない要素の一つに、企業のITビジョン（IT活用に関し、その企業がどのような方向をめざしているのか）が挙げられる。将来インターネットとの接続をどこまで進めていくのか、エクストラネットは構築するのか、エレクトロニック・コマースを行っていくのか等、情報セキュリティ・ポリシーの立案過程に決定的な影響を与える基本的なビジョンが明確にされていなければならない。

5 ITビジョン以外のポイントとしては、企業活動の地理的範囲も重要である。今日のように、くの企業がグローバル化している中では、特定の地域事情に偏らない情報セキュリティ・ポリシーの立案が不可欠といえる。多国籍企業が効果的なポリシーを確立するためには、様々な国や地域におけるビジネスの前提や、それぞれに付随するセキュリティ・リスクを検討する必要がある。この中には、法的要素も含まれており、例えば、違反者に対する罰則が、米国では合法であっても、国によっては違法となる可能性もある。また、例えばWANを多国籍オペレーションに利用している企業の場合、どの地域や国のネットワークが傍受などの攻撃を受け易いかといった技術的側面も考慮しなければならない。

6 続いて、ITの安全を守るための責任を一人一人に理解させることが重要である。ポリシーの中に想定される脅威のパターンを全て盛り込むことは不可能であるが、どんな問題が起こっても必ず誰かが対処できるような仕組みを作り出すことはできる。従って、ポリシー立案段階で、社内スタッフをそれぞれの責任範囲に応じてグループ化することが大切になってくる。例えば、一般社員の場合、情報セキュリティの強化や問題への対処よりも、ポリシーに従った毎日のシステム利用という形での関与が主体である。一方、システム管理担当者は、新しいユーザーを追加したり、既存ユーザーにアクセス権を与えたりといった高度の責任を負っている。さらにその上に位置する存在としては、社内ITシステム全体のセキュリティ保護に責任を持つネットワーク管理担当者が挙げられる。

7 情報セキュリティ・ポリシーが脅威とリスクのどちらのアプローチを主体としたものであるとしても、企業が次に行わなければならないのは、そのポリシーを通じて守ろうとしているIT資産にどのようなものがあるのかをリストアップする作業である。リストの中に含まれるべき主なIT資産には、次のようなものがある。

◆ ITハードウェア（コンピュータ・プロセッサ、メモリ・チップ、各種ボード、モニタ、ネットワークサーバ、ディスクドライブ、プリンタ、データ・ネットワーク機器、ボイス・ネットワーク機器、その他）
◆ ソフトウェア（ネットワークサーバや個別ユーザー端末上に存在するもの）
◆ データ資産（ドキュメント、電子メール、ボイスメール、財務情報など、社内ITリソースに貯えられたあらゆる情報）
◆ ITリソース用サプライ（プリント用紙、ディスク、交換用チップなど）

8 防衛の対象である社内IT資産のリストアップが完了すると、次はそれぞれの資産に対してどのような脅威が存在するかを検討する作業になる。対象とすべき脅威には様々な種類があるが、中でも特に重大かつ一般的な脅威には、次のようなものがある。

◆ 許可を受けた者以外によるITリソースへのアクセス
◆ ITリソース上に保存された情報の漏洩・破壊
◆ ITリソースのサービス停止

9 企業のIT資産やそれに対する脅威のリストアップを完了した企業は、これらのデータに基づいて一通りのリスク分析を行うことが望ましい。この段階で明らかになっているのは、社内IT資産の内訳とそれらに対する脅威だけであるが、それでも、リスク分析を行うことで、予算の範囲内でそれぞれの資産をどの程度保護することが適当であるかを大まかに判断することは可能である。この作業を行うにあたっては、それぞれのIT資産の時価や価値の情報も大いに参考となる。なぜならば、あるIT資産を保護するために、その価値を上回るようなコストをかけることは適当でないからである。

(2)ポリシー規定段階
　以上のようなステップが完了したところで、企業はいよいよ実際のポリシーの内容を規定する段階に入る。この段階において主眼となるのは、各ITリソースへのアクセス権をどのユーザーに与えるかを整理し、社内リソースの適切な利用法を規定するとともに、システム管理担当者が実施するコントロールの内容を定めることである。これらは言うなれば、社内ITリソースの適切で安全な運用に関する基本コンセプトである。その立案にあたって、関係者が検討しなければならない問題には、次のようなものがある。

◆社内ITリソースの利用が認められているのは誰か？（ポリシーの中には、誰が、どのリソースを利用する権限を持つのかが明確に規定されなければならない。）

◆ ITリソースの適切な利用とはどのようなものか？（社内ITリソースの正しい利用法についてのガイドラインを盛り込むことが必要である。ガイドラインは、利用者のグループ別に異なったものを作成しなければならない場合もある（例えば、インターネットの使用が認められているスタッフと、そうでないアシスタントの区別など）。ポリシーには、この他にも利用上の様々な問題（アカウントの共有化、サービスの中断、他ユーザーが所有するファイルのオープン）に関する各種規定を盛り込む。特に、ソフトウェアのインストールに関しては、不用意に実施することでセキュリティ・リスクを引き起こしたり、法的問題に発展したりする可能性があるため、明確な企業方針を設けることが望ましい。）

◆アクセスや利用を認める権限は誰にあるのか？（管理担当者の役割を規定し、それぞれが担当すべきリソースをまとめる。一般的に、企業には何種類かの管理担当者が存在するため、ポリシーの中でも、それぞれの権限と責任を明文化する必要がある。）

◆ 要注意情報の適切な取扱い方法とはどのようなものか？（企業秘密や顧客情報など、取扱上注意が必要な情報の保管方法についても、ポリシーの中で触れる必要がある。国防総省や軍関連組織との取引がある企業の場合、このような方針は軍機保持に関する政府の法規制にも大きく影響される。）

　このような方針の決定には、非常に具体的で細かい無数の案件を地道に整理する作業が欠かせないが、その成否は、後にセキュリティ・メカニズムを構築し、問題点を検証する上で直接関わってくることから、極めて重要性が高い。また、一つ一つの規定が、関連する全ての国において合法であることを確認することも大切である。さらに、それらが十分に包括的でありながら実行可能であるかどうかの検討も忘れてはならない。情報セキュリティ・ポリシーが必要以上に複雑になれば、社内への徹底は期待できない。