- 2007-0131 セキュリティポリシー(番外編)―対策書で対策しよう!
- 2006-0616 セキュリティポリシー(後編)
- 2006-0615 セキュリティポリシー(中編)
- 2006-0614 セキュリティポリシー(前編)
目の前にサーバがある。さてセキュリティ対策はどうするか?
「じゃあセオリーどおり、施錠できるラックに入れて、耐震対策をして、非常電源を用意して、…これでセキュリティ対策はバッチリだ。」
一見正しいように見えるが、そうではない。
そのサーバは本当にそこまでコストをかけて守らなければいけないのか?
こうしたリスク分析と判断のプロセスが抜けているからである。
「障害が起きたらサーバが止まる、だからクラスタ構成にする」
これはセキュリティ対策ではない。
「障害は起きたらサーバが止まる。発生確率はそこそこある。サーバがとまると莫大な被害が出る。だからクラスタ構成にする」
これが正しいセキュリティ対策である。
システム障害は、確かに脅威と定義される。しかしその発生確率と情報資産への影響を論ぜずして対策を語るのはナンセンスだ。
同様に不正アクセスも、そこに被害にあうべき情報資産や「踏み台」にされるリスクが存在しなければ、対策する必要がないのである。
オンライン処理の要となるサーバで、それが停止すると全業務に支障が出、1分たりとも停止が許されないサーバであれば、クラスタ構成にして免震台も履かせて、ネットワークも二重化三重化、といった対策が必要だろう。
ところが、このサーバが外部とのデータ授受のみに使用し、それも1日1回業務時間外にしか利用しないものであれば、スペアの代替機が1台あれば十分だ。
耐震対策はおろかUPSすら必要ないかもしれない。
システム領域のためのバックアップソフトなどを搭載した日には、下手をするとライセンス代だけでもう一台代替機が買えてしまうわけで、こういうのは意味の無い対策であり、むしろ税金の無駄遣いである。
要するにセオリーなど無い。
リスクは千差万別であるから、行うべき対策も必然的に異なってくるわけである。
その意味では、項目のみあげた「防災グッズカタログ」のようなものがあっても、それ単体では全く役に立たない。
仮にも「それ単体」で個人情報保護審議会に大いに役立つとしたら、随分お粗末な話ではある。
残念ながらこうした審議会は「対策項目」のみをチェックし、その前段階のプロセスを度外視しているケースが多いのも事実ではある。
セキュリティ対策でまず手がけることは、対策項目の検討ではなく、リスクの分析であり、そのためには何よりシステムの詳細仕様が必要である。
少なくともこのサーバが停止したらどの程度の支障がでる、とか、容認できる停止時間は何時間とか、個人情報を含むデータの有無とか、そういうことがわからない状態で対策項目を検討しても結論はでない。
例えば、このサーバをシングルにするかクラスタにするかといった選択も、絶対に決まるはずがないのだ。
例によって今回の話はセキュリティに対する一般論であって他意はない。何か思い当たる節があってもそれは気のせいである。
くどいようだが邪推は無用である。
だが依然として官民問わず個人情報流出事件は後を絶たない。
つい先日もKDDIにおける400万人もの顧客情報流出が報じられたのが記憶に新しいが、KDDIに限らず、Yahooや楽天、NTTdocomoなど、情報産業の最先端を行くこうした企業や団体が、皆前科持ちなのである。
もちろん、皆立派なセキュリティポリシーを備えている会社ばかりである。
何が言いたいかというと、つまりセキュリティポリシーは持っているだけでは意味が無いということである。
策定はあくまでスタートラインなのだ。
では、良いセキュリティポリシーとはいったい何か?
月並みではあるが、自分なりの意見を書いてみることにする。
ITに理解が無いものが幹部にいるというだけで、その組織の情報資産価値は半分以下になってしまうといっても過言ではない。
「現職君、このシステム導入の資料、目を通したがね、予算額を大幅にオーバーしているではないか」
「部長、私は予算要求の段階からその金額が必要だと申し上げておりました。中身も見ずに2割カットされたのは部長ではないですか?」
「失礼だな君は。中身を見たからそう判断したのだよ。例えば先方からの要件定義資料では、必要容量は3TB(注2)になっているのに、何で300GBのハードディスクが14本も必要なのかね? 4本も余分に水増ししているではないか。」
「それはRAID5(注3)といって、データの正確性を確保するために必要なのです。以前も説明差し上げたではないですか」
「そうだったかね? とにかくこんなのでは議会で突っ込まれたときに説明できん」
「説明してください。RAIDをかけていないということが世間に知られるほうが物笑いになります」
「ううむ…。いや、現職君、まだあるぞ。このサーバの免震台は不要じゃあないか」
「耐震対策のために必要です。本市の条例にも明記されております」
「何もなしというわけではない。ラックを耐震用に固定すれば良いではないか」
「耐震(注4)と免震(注5)は違います」
「どう違うのかね? 要は地震5のときにサーバが倒れなければ良いんだろ?」
「たとえ転倒しなくとも、サーバが強震されれば、ハードディスクのデータは全て滅失します。それに電子計算機室はビルの上層階なので、実際には震度6強に耐えうる対策が必要です。アンカー打ちの耐震対策だけでは不十分です。システムの可用性(注6)が失われます」
「いやな、現職君。実は免震台を置くスペースがないんだ。耐震ならスペースを確保できる」
「場所の調整はお願いしていたではないですか」
「うるさい、決まってしまったから仕方がないだろう。他のシステムも耐震だけでやっているんだ。だいたいあのビルだって地震のとき無事かどうか分からんだろう」
「ならば、業者のサーバをレンタルする等の対策を講じてください」
「今から出来るわけないだろう。この話はやめだ。次、この馬鹿高い数百万もするソフトはいったい何だ。」
「不正アクセスを検知、阻止するためのソフトです」
「こんなものは、ウィルス対策ソフトを入れておけば、全て防げるんだろう?」
「防げません」
「君はどうしてまずコストをかけることを考えるんだ? その前にできることを探すべきだろう。例えば、担当課長が毎日、変な線がつながっていないかどうかチェックするという方法でも良いではないか(注7)」
「…そんなセキュリティポリシーでは本市が笑いものになります」
「うるさい、いちいち口答えするな! だいたい、君は一番重要な部分で間違っておる」
「一番重要な部分とは何ですか?」
「システムの名前だよ! どうして事前に私に相談しなかったのだ!」
自治体は最もクリティカルな個人情報を取り扱う組織である。だからこそ、少なくとも幹部職員は上級シスアド程度の知識を備えているべきである。
前回、民間企業のセキュリティポリシー策定に対する立ち遅れを指摘したが、そうした意味では自治体のほうもボロボロであると言って良い。
※今回登場する人物は全てフィクションです。実在の人物、事件、団体、ならびに作者の個人的怨恨(笑)とは一切関係がありません。
注1 最高情報統括責任者のこと
注2 テラバイト。ギガバイトの1000(または1024)倍
注3 複数のハードディスクの固まりを用い、修復用の符号を付加して情報を保存する技術。
注4 機器を固定し、転倒を防ぐ地震対策
注5 振動を吸収する地震対策
注6 システムの壊れにくさのこと
注7 変な線とは何であろうか?課長が課内だけではなく全庁ネットワークを毎日チェックするのであろうか?
「セキュリティポリシー」とものをご存知であろうか。
簡単に言えば、「企業や自治体などの団体の情報の取り扱いに関する方針」ということができる。
昨今の個人情報に関する関心の高まりの中で、にわかに脚光を浴びてきたキーワードである。
自分は仕事柄、セキュリティポリシーにはうるさい。
素で5時間でも6時間でも話すことができるが、今回はさわりだけにしようと思う。
一口にセキュリティポリシーといっても非常に範囲は広い。
情報資産の分類や定義(セキュリティポリシーの適用範囲)から始まり、組織体制、運用(対策)、罰則や見なおしに関することまで様々である。
核となるのは情報保護対策たる運用部分であるが、
それもリスクの種類から大まかに物理的、技術的、人的の3種の保護対策に分けることができる。
物理的というのは、例えば、
○サーバは震度5に耐えうる程度の耐震対策を施すこと
○消火設備を整えること
○電子計算機室には許可されたものしか入退室できないこと
など、入退室管理や盗難対策、あるいは物理的な災害に対する対策等である。
技術的というのは、
○アクセスログを取得し、一定期間保管すること
○クライアントにはウィルス対策ソフトをインストールし、パターンファイルを最新に保つこと
○ソフトウェアをクライアントにインストールするときにはシステム管理者の許可を得ること
など、不正アクセスやウィルス対策、システムの仕様変更や開発改善時の取扱、アクセス権限管理に関することが含まれる。
人的というのは、ここが一番の要であるが、
○パスワードは適切に管理し、机の上やクライアントにメモ書きしておかないこと
○私有のパソコンや機器を社内ネットワークに接続しないこと
○個人情報が入った媒体は、鍵のかかる保管庫に保管すること
など、エンドユーザーレベルの運用や教育に関することが含まれる。
こうしたセキュリティポリシーは、官公庁ではあるのが当たり前である。
ところが民間企業は散々たる状態で、聞くところによると上場企業ですら今だたったの4割しか策定されていないそうだ。
その4割も(後編での話にも関わってくるが)そのうちどれだけが本当に役に立つものかは疑問である。
民間企業は会社のパソコンで仕事中でもインターネット見放題とのことであるが、これは本当であろうか?
役所の常識は世間の非常識というが、これは逆の意味で驚きである。
なるほど、「20万円でセキュリティポリシー策定します」などという商売が成り立つはずだ。
そりゃあ「情報セキュアド」と「システム監査技術者」を取得して、コンサルタント会社を立ち上げて大もうけなどという餅も描きたくなるものである。
冗談はさておき、
ともあれ、日本の情報セキュリティはようやく関心が高まってきたところで、未だ黎明期であるということが言えよう。
だが、個人情報保護法のみならず、2008年には日本版SOX法も制定される。
日経ソリューションの調べでは関連市場は1兆円近くになるということだ。
ビジネスチャンスである。
今こそ「情報セキュアド」と「システム監査技術者」を取得して、コンサルタント会社を立ち上げて…
(しつこい)