「システム運用設計」で必要なこと

第4回 運営設計と情報セキュリティ #1

概要

企業の情報システムにおいて、適切なシステム運用設計を行うことは、業務の安全稼働のみならず、ビジネスの効果を最大限に引き上げるために、非常に重要な役割をもつ。 長年製造業のシステム管理に携わってきた著者が、実体験をもとに、「システム運用設計」に織り込むべきことや、運用管理とシステム開発の関係などについて語る。

皆様こんにちは、伊藤です。

昨今マスコミには「標的型攻撃」とか「本人なりすまし」という言葉が氾濫しています。なにやらインターネットを使うと危なくて仕方がないような風潮です。我々システム運用を行う人間はどうすればいいのでしょうか。

そこで、今回から2回、情報セキュリティとそれを考慮した運用とはどういうことかについてお話しいたします。まずは情報セキュリティについて整理してみましょう。

 

目次
そもそも情報セキュリティとは
セキュリティの輪について
機密性を確保する
次回予告

そもそも情報セキュリティとは

本コラムの読者の皆さんは、様々な企業や組織の方がいらっしゃいますので、一言で「情報セキュリティ」といっても思い浮かばれる内容はそれぞれ違ってまいります。

ちなみに、総務省のサイト※1では、情報セキュリティとは「企業・組織における情報資産全般の機密性完全性可用性を確保するという意味で使われている言葉です」 と説明されていますので、本コラムではこれに従ってまいります。

ここで、情報資産とは、企業や組織などで保有している情報全般のこと。顧客情報や販売情報などの情報自体に加えて、ファイルやデータベースといったデータ、CD-ROMやフロッピーディスクなどのメディア、そして紙の資料も情報資産に含まれます。紙の資料も対象である。というところに留意してください。

また、機密性とは、情報にアクセスすることが認可されたものだけがアクセスできることを確実にすることで、Confidentiality(コンフィデンシャリティ)の訳語です。

完全性とは、情報及び処理方法の正確さおよび完全である状態を安全防護することで、Integrity(インテグリティ)の訳語です。

可用性とは、認可された利用者が、必要なときに情報にアクセスできることを確実にすることで、Availability(アベイラビリィティ)の訳語です。いずれも国際標準化機構(ISO)が定める標準に定義されるものです。

 ※1総務省の「国民のための情報セキュリティサイト 情報セキュリティって何 他」

情報漏洩事故防止やUSBメモリーの暗号化など、機密性の確保を情報セキュリティの的とする考え方もございますが、システム内のデータが改竄されれば正しい処理が行われなくなり、処理結果の信頼性が損なわれ完全性の不備を招きます。また、特定のWEBシステムに同時に大量のアクセスをかけることでそのWEBサービスを停止させることにより可用性を阻害され、この結果利用者の利便性を損なったり、経営へ影響も発生してきます。

つまり、情報セキュリティの確保とは、機密性、完全性、可用性の確保をすることなのです。

 

セキュリティの輪について

皆さんは、「セキュリティの輪」という言葉を耳にされたことはあるでしょうか。もともとは、A chain is no stronger than its weakest link. といって、鎖の強さは、もっとも弱い環によって決まる。たとえ一つでも弱い環があれば、そこからちぎれることになるから、鎖の強さはその弱い環によって決まる。要はなにごとでも効力は弱い個所によって決定されるという比喩的な意味で引用されます。有名なイギリスの探偵小説作家コナン・ドイルのことばから出たものです(「英語のことわざ」秋本弘介、創元社)。セキュリティの専門家であるブルース・シュナイアーも自著「セキュリティはなぜやぶられたのか」(日経BP社、井口耕二訳)で「鎖はいちばん弱い輪以上に強くなれない」と引用しています。つまりセキュリティ対策において、大部分の項目は高レベルの対策を行っていても、ある項目への対策が不充分な場合、全体としてのセキュリティレベルは、最弱の項目に依存してしまう訳です。

例えば、自宅のセキュリティを考えてください。玄関の鍵を2重ロックにし、さらにチェーンをつけていても、バスルームの窓を換気のために夜間開けたままだった場合、こそ泥は、バスルームから容易に侵入できてしまいます。情報セキュリティでも話は同じです。従って、情報セキュリティ対策を実施する場合は、それぞれの企業や組織で想定される脅威に対して、何をどうすれば対応が図れるのかを俯瞰し、網羅した上で、穴の無い様に対応策を実施すること。つまり、一部の対策をレベルアップしたあと、次の対策に移るのではなく、バランスのとれた進め方をすることが重要です。

これは、対策項目毎にも言えますが、大きな組織では、拠点ごとのバランスも必要です。末端の営業所や、海外の拠点ではどうしても専門の人材を確保することが難しくなってしまいます。一方、情報ネットワークの普及でどこからでも容易に本社へアクセス可能になっています。したがって、情報セキュリティに関しては同じレベルの対策が必要になるわけです。
参考:「セキュリティの最も弱い輪は海外拠点」、NRIセキュア

 

機密性を確保する

USBメモリーをどうする。とか、電子メールに気をつけろ。ということも必要ではありますが、私は機密性を確保するためにまずやらなければならないことは、組織にとって「何が機密情報なのか」ということ。つまり、「機密情報とその取り扱い」を定義することだと考えています。なお、この際重要なことは取り扱いを細かくケース分けしない。ということです。せいぜい3~4分類でしょう。
例えば、限定された人が扱い、誰がいつ作成、改訂、閲覧、複製、伝達、廃却したかを責任者のもとですべて管理する情報 いわゆる「極秘」情報と、限定された人が閲覧、複製、伝達、廃却でき、その管理は当事者の責任で行う「秘」情報、それ以外で積極的に公開することをしない「関係者外秘」の3分類にするという考え方です。
 
機密情報を定義するということは、組織内の情報を機密の観点でたな卸しするということです。機密の観点とは、組織の外部や組織内でも関係者以外に情報が流出した場合に法的な問題以外にどのような問題が生じるのか。例えば、重要なノウハウを競合他社に利用され、商品競争力を失う。新製品の企画がもれて、他社に先行される。ということとか、情報管理力が無いと評価され、取引を停止される可能性とかの問題です。このような問題を情報の種類毎に洗い出して評価し、情報の機密性とそれらの取り扱いをどのようにするのかを組織として統一して定めることを最初に行う必要があるのです。各自が極秘 とか 秘 とかのマークや印を押せば、機密情報だ。ということではありません。
 
「個人情報保護法」や「金融商品取引法での会社の重要事実」のように、法律で取り扱いが定められている情報は法に従った取り扱いが必要ですが、法で定められた情報以外についてはこのような組織で統一した基準を設け、組織内で周知させることが重要です。
 
なお、「不正競争防止法」の2005年6月の法改正では、模倣品・海賊版対策の強化、営業秘密の国外での使用・開示処罰の導入や退職者に対する秘密漏洩の処罰の導入が行われました。この場合の「秘密」とは、組織で「秘密」と定めただけでは立件要件をみたさず、「秘密」情報として、実質的に相応の管理がなされていること。例えば紙文書や物品の施錠管理やデータへのアクセス制限などにより、許可された人物のみが取り扱うことができるように管理されていて初めて犯罪として成立する。ということも考慮しなければなりません。
 
さて、機密情報とその取り扱いを定義したら(実は社内の関係者の合意を取り付ける必要があるため、これが結構労力のかかる作業なのですが)つぎは、その導入、運用段階に入ります。
従来のシステム管理、運用の範疇では、主としてアプリケーションシステムに関わる役割、職位等と、権限を定め、システム化し、運用していました。この場合、アプリケーションで使用するデータや出力に関して、アプリケーションごとに取り扱い者や手順を定めることで機密性を確保してきました。
 
しかし、PC、電子メールで情報を取り扱うことが一般的になり、さらには、いわゆるスマートデバイスの活用も始まっている現状を考えると、ITのインフラ自体で機密性を確保しなければなりません。ここで技術的な話はいたしませんが、人間系での対策 例えば、秘データはパスワードで保護する。という方法は運用自体が難しく、実効性は低くなります。秘データかどうかをシステムでデータから自動的に判断することは困難ですから、人間系のサンプリングに頼るしかなく、負荷の高い作業になります。また、情報を閲覧、複製する場合、元情報自体は変化しないので、後から元情報を調べても閲覧、複製されたことを調べることは大変困難です。
 
従って、インフラ自体を機密性の高いものにすることが重要になってきます。さらに、情報の動きやアクセス状況などを常時記録し、それぞれの機密データの責任者が必要に応じて確認できるしくみが望ましいと考えます。
そのような機密性の高いインフラ構築とその運用設計では、インフラシステムが正常に機能しているだけでは不充分で、情報への異常なアクセス 例えば、通常とは異なった機器からアクセスされた。アクセスの時間帯がそれまでと異なる。アクセス頻度が変化した。などの状態を検知し、機密データの責任者にフィードバックするような機能と運用も必要になります。(ネットバンクではすでに一部で実施されています)
 
なお、SOX法やいわゆるJ-SOX法で要求されるIT全般統制でのセキュリティ管理は、データやシステムの未承認の改竄が行われないことがその目的であり、本来機密性を担保するものではないということを付け加えさせていただきます。
 

次回予告

次回は、「運営設計と情報セキュリティ」についてお話をしたいと思います。

連載一覧

コメント

筆者紹介

伊藤 裕 (いとう ゆたか)

トヨタ車体株式会社 情報システム部 ITマネジメント室 参事補

自動車製造業でのシステム管理、運用部門の管理者をはじめ、IT予算管理、J-SOX、セキュリティ対策対応など、企業の情報システムにおける様々な経験をもつ。

バックナンバー