----------------------------------------------------------------------
(セキュリティポリシの監査について)
----------------------------------------------------------------------
----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
1−1 私が所属する組織における
セキュリティポリシーの必要性
----
H社は、中堅の製造業者である。本社は営業拠点もか
ねて仙台にあり、近郊に研究所と工場がある。市場は主
に東北であり、東北6県の県庁所在地に営業所がある。
数年前から社内業務の電子化を進めており、昨年までに
1人1台のパソコンの配備が完了した。最近では、社長
以下全社員がグループウェアによる情報共有や電子メー
ルを活用した社内外との連絡を行うようになっている。
昨年から社外向けホームページを開設して、積極的な情
報発信も行っている。
当社においてはパソコンの配備、インターネット接続
の開始等により以下の傾向がある。
・情報資産が拡散している
・脅威、脆弱性が増加している
・社員が大量の情報を簡単に入手できる
このような状況を考慮するとセキュリティ管理者のみ
がセキュリティ対策を行うだけではなく、社員1人1人が
セキュリティ意識を持ち、全社的なセキュリティ対策を
実施していく必要性が増してきている。
外部からの脅威や内部犯罪者に情報を不正に入手され
ない、漏えいしない組織全体に対する情報セキュリティ
に対する取組方針であるセキュリティポリシーを策定す
ることが必要である。
----
1−2 セキュリティポリシーの策定状況
----
パソコンの配備に併せて情報システム部門において、
・ID・パスワードの管理規定、運用規定
・ウイルス対策ソフトウェアの運用規定
・サーバーのバックアップ規定
を定めユーザ部門に対しての周知を行ったが、全社的な
セキュリティポリシーの策定には至っていない。
----
1−3 私の役割
----
H社企画部門内部監査担当のリーダーとして、H社セ
キュリティポリシー策定段階での監査を行った。
----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
2−1 セキュリティポリシー策定段階で
監査を実施することの必要性
----
セキュリティポリシーとは、組織全体に対する情報セ
キュリティに対する取組方針であり策定にあたっては以
下のプロセスが必要である。
手順1 策定の「目的」を明確にする
誰のために、何のために、情報セキュリティポリシ
ーを策定するのか。策定の目的を明確にする。
手順2 管理する「情報」を明確にする
上記方針に基づいた、「守るべき情報」を、調査し
明確にする。
手順3 付随する「リスク」を明確にする
「守るべき情報」に付随する「技術的」・「人的」・
「物理的」リスクを調査し明確にする。
手順4 リスクを評価しその「取扱い・対策方法」を決
定する
リスクに関する評価を行い、無くすのか(回避)、
減らすのか(軽減)、他へ移すのか(移転)、許すの
か(許容)を決定する。許容以外のリスクの対策手段
を決定する。
手順5 対策方法を「文書化」する。情報セキュリティ
ポリシーを策定する
上記で決定した、対策手段を文書化する。
これらの策定プロセスが適切に実施されることによっ
て有益なセキュリティポリシーが策定される。策定プロ
セスが適切に実施されずに策定されたセキュリティポリ
シーは目的が不明確で、守るべき情報資産が十分に網羅
されておらず、対策が不十分なため有効には機能しない。
このため、策定プロセスが適切に実施されているかの監
査が必要となる。
----
2−2 監査目標
----
セキュリティポリシーの策定プロセスが適切に実施さ
れているかが監査目標となる。以下の点について着目し
監査を実施する。
1) セキュリティポリシー策定の目的が明確になってい
るかを文書により確認する。
2) 守るべき情報資産が漏れなく洗い出されていること
を、保護資産台帳等の査閲により確認する。
3) リスクアセスメントが適切に行われているかを関連
文書の査閲及び策定メンバーへのインタビューを通じ
確認する。
a.リスク分析を実施した要員の構成、スキルは妥当か、
必要な部署、要員が漏れていないか。
b.損失額の予測は的確に行われているか。方法論に問
題はないか。
c.リスク分析の結果に基づいてセキュリティ対策が計
画されているか。
----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
3−1 セキュリティポリシーの運用段階において、
セキュリティ上の問題が発生する理由。
----
主な理由として、以下の2点がある。
【理由1】 新しい脅威、新しい脆弱性の発生
セキュリティポリシー策定時のリスクアセスメントに
おいて判明していなかった新しい脅威、脆弱性が原因と
なりセキュリティ上の問題が発生する場合がある。例え
ば、セキュリティポリシー実施規定に基づき、クライア
ントパソコンへウイルス対策ソフトを常駐させ最新の定
義ファイルで運用させていても、最新のパターンファイ
ルに定義されていないコンピュータウイルスに感染する
可能性はある。
【理由2】 新しい情報資産の保有
セキュリティポリシー策定時の「守るべき情報資産」
に存在しなかった新たな情報資産を保有したがために、
セキュリティ対策が行われていなかった。例えば、新た
に外出先からの社内情報資産へのアクセスを可能とする
リモートアクセスサーバの仕組みを導入したが、十分な
認証方法を採用していなかったため不正アクセスによる
社内ネットワークへの侵入を許してしまうことがある。
----
3−2 システム監査人の対応
----
セキュリティポリシーは策定して終わりではない。情
報資産を取り巻く環境は日々変化するため、定期的な見
直し及び環境の変化に対応した評価、見直しが必要であ
る。評価、見直しがされないセキュリティポリシーは形
骸化し、その有効性を失ってしまう。
定期的な見直しポイントとしては、
・ セキュリティポリシーの有効性
・ 情報セキュリティ対策コストとその妥当性
・ 情報セキュリティ対策使用技術の有効性
臨時的な見直しポイントとしては、
・ 重大なセキュリティ事故の発生
・ 新しい脅威の発生
・ 新しい脆弱性の発生
・ 組織、管理体制の変更
がある。
システム監査人は、組織体においてセキュリティポリ
シーが、これらのポイントに対応して評価・見直しが実
施される手続き、体制が構築されていることを確認し、
未構築の場合は、改善案とともに改善勧告する対応が必
要である。
以 上
[ 戻る ]