98年7月  JEIDA駐在員・・・長谷川英一

米国における
情報セキュリティー問題の現状-8-
(3)ここまでで定めたポリシー規定が破られた場合の措置の策定段階

 以上のようなプロセスで具体的なルールを作り上げた企業は、次に、それぞれの規定が破られた場合に取るべき措置を定めることになる。問題が起こった場合に、迅速な対応を可能にするためには、情報セキュリティ・ポリシーの中に適切な措置を明文化しておく必要がある。特に、自社の社員が問題の発生に関与しているといった場合には、予め明確に規定されている罰則に基づいて公正な処分を行い、それらの手続きを本人にも納得させることが重要となる。また、予想される攻撃に際して取るべき望ましい対応(システムの復旧、当局への通報、攻撃元を確定するための手法、その他)も含めることが必要である。
 
企業の情報セキュリティが侵された場合、考えられる対応の方法は大きく2通りに分かれる。

第1は、「プロテクト・アンド・プロシード(防禦と進行)戦略」に従った対応である。この戦略が目指すのは、自社IT資産の保護・保存を図りながら、できるだけ早期に通常の稼動状態に復帰することである。企業は、発見した侵入者を自らの手で排除するとともに再度のアクセスができないようブロックし、直ちに被害状況のアセスメントと復帰のための作業に着手する。このような措置には、一時的にITリソースの稼動を停止させたり、ネットワークの接続を切ったりといった荒療治も用いられる。

第2の対応は、「パースー・アンド・プロセキュート(追跡と告発)戦略」に基づく。侵入を発見しても直ちに干渉することはせず、証拠をつかんで正体を明らかにするよう努めるという方法で、捜査・検察当局に勧められて実施するというケースが多い。最終的な目標は、不正を行った者を捕らえ、外部の者なら起訴、内部の従業員ならばしかるべき処分にかけることにある。この戦略は、次のような条件に当てはまる場合に取ることが可能となる。

IT資産の保護が行き届いている。
信頼できる情報バックアップ体制が整っている。
現在と将来の攻撃が、企業にとって無視できないリスクを含んでいる。
攻撃が定期的かつ執拗に続いている。
普段から多くのハッカーに狙われており、一人を捕らえることで見せしめとしたい。
侵入者を泳がせておくことで生じる金銭的リスクを容認できる。
必要な場合には侵入者のアクセスを直ちに制限することもできる。
モニタリング・ツールや優秀なITスタッフを持ち、追跡が成功する見込みが高い。
司法当局との連絡体制が確立している。
企業を代表して関連法規に明るい者を立て、十分な証拠を提出することで、侵入者の有罪を立証することができる。
データが損なわれた場合に利用者や顧客から提訴されても対応する用意がある。
 
 企業は、上の2種類の戦略を単独で用いることもできるが、両者を組み合わせて用いることも可能である。例えば、社内ITリソースの中でも、特にハイリスクのものについてはパースー・アンド・プロセキュート戦略を用いるといった方法が考えられる。但し、いずれの戦略も、侵入が発生した事実をリアルタイムでキャッチできることを前提としているが、現実は必ずしもこの限りでないため、情報セキュリティ・ポリシーの中には、侵入事実が後から発覚した場合の対応も含めておく必要がある。通常、過去の侵入事実を突き止めた企業は、まず被害の程度を調べ、復旧措置が必要であるかどうかを判断するが、この過程を通じて侵入者の身元に関する手がかりが発見され、起訴などにつながる場合もある。

(4)情報セキュリティ手続きの策定段階
 ここまでの部分は、情報セキュリティ・ポリシーの中でも、保護すべきIT資産を特定し、それらの安全を守る上での企業としての方針や措置を具体的に規定する部分であった。これに続くポリシーの後半部分は、IT資産を保護するための方法論に関するもので、特に「情報セキュリティ手続(Information Security Procedures)」という名称で知られている。企業によっては、この部分だけをポリシーから独立させて単独の文書とすることもある。情報セキュリティ手続の内容には、IT資産のセキュリティを確保するためのメカニズムのほか、侵入の発生を検知するための方法も含まれている。

 情報セキュリティ手続を定めるにあたって、多くの企業が陥りやすい誤りは、全体のプロセスも決まっていないうちから、スマートカードやファイアウォールといった具体的セキュリティ・メカニズムの採用を決定してしまうことである。こうしたやり方は、特定のIT資産だけに防護を集中させ、別の部分をおろそかにするという結果につながり易い。企業は、全体的なセキュリティ手続を明確に定めてから適切な技術を選定するべきであり、ベンダーが薦める製品から出発してはならない。

 適切な情報セキュリティ手続を決定するためには、ポリシー作成の過程で既に行ったような、個別IT資産に関するリスクの分析評価が必要となる。企業は、この分析結果に基づいて、それぞれのIT資産を固有のリスクから守るためのメカニズムを決定していくことになる。企業が持っているIT資産の中でも、特にハイリスクに属するものや価値の高いものについては、互いに独立した複数の防護メカニズムを採用することが望ましい。これにより、重要なIT資産の守りを多重化し、仮に一つが破られてもセキュリティが侵されない体制を作るのである。また、複雑かつ高価なメカニズムを1種類だけ採用するよりも、比較的単純なメカニズムを複数用いた方が、コスト効率上有効な場合もある。

 防護メカニズムに関する記述とともに、情報セキュリティ手続の重要な構成要素となっているのが、各種の不正行為をキャッチする方法である。企業のIT資産が内部や外部から不正にアクセスされても、当の企業自身がそれに気付かなければ有効な対策を取ることはできない。セキュリティの実態を的確にモニターし、不正の発生を迅速に関係者に通報するメカニズムは、情報セキュリティ・ポリシー全体が適切に機能するかどうかを左右する一つの鍵なのである。
←戻る | 続き→

| 駐在員報告INDEXホーム |
コラムに関するご意見・ご感想は hasegawah@jetro.go.jp までお寄せください。
J.I.F.に掲載のテキスト、グラフィック、写真の無断転用を禁じます。すべての著作権はJ.I.F..に帰属します。
Copyright 1998 J.I.F. All Rights Reserved.