第79回月例研究会「情報セキュリティマネジメントの国際標準化と国内の動向」報告
日時 平成13年4月18日
場所 労働スクエア東京701会議室
演題 「情報セキュリティマネジメントの国際標準化と国内の動向」
講師 (株)日立情報システムズ
システム監査室システムアドバイザー
小林 秀樹 氏
(文責:No.526 富山伸夫)

はじめに

 講師の小林氏は、同社で安全対策認定事業所関連他のお仕事の他に、JISAや通産省(現 経済省)での安全対策の規格化および国際標準のJIS化などに携わってこられました。また、この度のISMS制度の創設推進にも尽力されておられます。今回の研究会は時期がよかったせいか、協会会員外17人を含め、総勢64人と、昨今まれな盛会となりました。  

講演要旨(ISMS制度等の検討状況については、2001年3月末現在)

1. 情報セキュリティに関する世の中の動き

 情報通信のインフラ整備や低価格化及びサービスコンテンツの充実などがあって「e−ビジネス」の急速な発展が見られる。e−ビジネスの特徴として、アイデア次第で誰でも参入可能であるが、サービス品質の維持が成功の分岐点であるとか、高い匿名性がある反面にネット犯罪の増加といった、サイバー社会の急速な発展へのセキュリティ面での対応が求められている。
 実社会で監査・認証に基づく信用や健全性や、運用監視・障害復旧方策によるサービス安定提供などによって確保される「信頼」は、サイバー社会における選択のポイントとして重要となる。
 こうした中で、ネット上の商取引が増加し、利用が多様化・高度化するとともに国際化が進んできているために、電子商取引に関連する基準およびこれらの各国間相互認証の必要性が出てきた。国内でも電子商取引関連法律や不正アクセスを制限するなどの基準や法体系の整備が急がれているが、世界が同一メジャー(物差し)の方がいいわけで、出来るだけ世界の標準に合わせようという方向にある。

2. 情報セキュリティの国際標準化動向と国内の動き

 インターフェースケーブルの部分から先は外国といわれるように、ネットワーク社会に国境がないような時代に、諸外国から信頼を得るためには、的確な国際標準の採用が効果的である。また、取引相手から信用を得る有効な手段として、または他社との差別化のために、「第三者認証」が有効な場合が多い。
 セキュリティには、リスクを踏まえた適切なマネジメントが重要として、セキュリティマネジメントの国際標準化が進められてきた。これに合わせて国内の標準化も進められつつある(GMITのJIS/TR化、ISO/IECのJIS化、後述)。
 政府は、「行政情報化推進基本計画」(平成6年12月)を進める中で、「情報セキュリティポリシー策定のためのガイドライン」(平成12年12月)を策定し、「各省庁は平成15年度までに電子政府の基盤としてふさわしいセキュリティ水準を達成する。」こととしている。これらを受けて経済省は、政策実行プログラムとして次の4つを発表している(平成12年4月、当時通産省)。

プログラム1−技術開発による電子政府情報セキュリティ基盤の確立
プログラム2−電子政府用情報通信機器/ソフトウエア/システムの信頼性確保
プログラム3−暗号技術の評価
プログラム4−国際動向を踏まえた情報セキュリティ管理(マネジメント)の確立

である。
 情報セキュリティ管理(マネジメント)に関しては、情報処理サービス業の形態が大きく変化している実態から、ニーズにマッチした安全対策制度に改革する必要がある。そこで、セキュリティ管理(マネジメント)の標準として、ビジネス環境、脅威を踏まえた対策、体系立てた網羅的・継続的なマネジメントの実施、内外から信頼されるセキュリティマネジメントといった考え方が出てきた。
 情報システムの安全性の認定に対する動きとしては、告示行政の廃止、規制緩和の方向に合わせ、国が直接認定する情報処理サービス業情報システム安全対策実施事業所認定制度(以下、安対制度)は廃止することとし、今後は民間の認証制度として、ISMS(Information Security Management System)制度が立ち上がることとなった。
 この制度は、情報処理サービス業者のニーズに対応するとともに、情報セキュリティマネジメント国際標準(ISO/IEC17799(JIS化))準拠とし、官民の役割分担としては、官は国際標準とJISの連携を、民はJISを活用した認証制度の適確な運営を目指す。
 安対制度の廃止といっても、新たな認定や更新の手続をしなくなったということで、既存認定事業者の取扱は、認定有効期間は制度廃止以降も有効であり、制度としては別のものであるので既認定事業者がISMS認定を受けることは可能となっている。

3. 情報セキュリティマネジメント 各論

3.1 国際標準化の動向

(1) ISO/IEC JTC1/SC27概要

 3つの作業部会(WG)があり、セキュリティマネジメント、暗号技術、セキュリティ評価の基準を検討し、それぞれに基準やガイドラインを策定している。

(2) セキュリティ基準/ガイドラインとして、次の3つの系統がある。

  • セキュリティ評価(製品)
     CC(Common Criteria)からISO/IEC15408となり、JIS X 5070となっている。
     パート1は日本語で出ているが、パート2,3は要約JIS(主要な部分は原文(英文)のまま)化されている。これは物つくり側の標準である。
  • ITセキュリティ
     GMIT(Guidelines for the Management of IT Security)は、ITを使う側の標準的な参考書で、ISO/IEC TR 13335−Part1〜5があり、JIS化作業中である(Part1〜3完(JIS TR X 0036)、Part4途中、Part5未着手)
  • 情報セキュリティ
     ISMS(Information Security Management System)は、英国のBS7799のPart1をもとにISO/IEC 17799となったものをJIS化作業中である。

(3) 各国のセキュリティ評価基準(ISO/IEC 15408)の制定経緯と相互承認の状況

(省略、参照 http://www.itsecurity.com/

(4) GMITSは,1991年からのプロジェクトで5部構成となっている。

第1部:ITセキュリティのための概念とモデル
第2部:ITセキュリティのマネージングと計画
第3部:ITセキュリティのマネジメントのためのテクニック
第4部:セーフガード(安全保護)の選択
第5部:ネットワーク・セキュリティ上のマネジメント・ガイダンス

3.2 ISO/IEC 17799(Code of practice for information management)

 制定の経過(省略)、考え方としては

  • 情報の保証に関するトップの宣言を大切にし、組織としての意識を明確化し、継続した行動になることを期待する。
  • システム、ビジネスに対応した対策を重視し、的確にリスク評価を行い対策見直しするとともに、抜けのない網羅的な対策を取れるようにする。
  • 継続性が重要であり、セキュリティマネジメントの確立により、デグレーションなきスパイラルアップで、出来ることを積み上げて行って、環境の変化に対応出来るようにする。

3.3 ISMS制度

 この制度の導入は、「国際的な標準を踏まえた人間系の管理技術を取り纏め、わかりやすく実用的なセキュリティポリシー策定のガイドラインを示す」(通産webページ)ことにある。
 したがってこの制度の構成は、ISMSの要求事項すべて(次項、実施すべき目標と管理策)を対象に審査するもので、安対制度ではやるべき個々の具体策(設備、管理、運用)が決められていたものと違って、組織全体を対象としている。他の規格等の関係で言えば、包括的にすべてを睨んだ制度となっている。

3.4 ISMSの概念

 ISMSの必要性は、情報資産全体のマネジメント、継続的なマネジメントレビュー、国際的な共通の物差しからきている。その概念をあらわすと図のようになり、継続的なマネジメントレビューとはPDCAサイクルによるスパイラルアップを期待している。(図@、図A――レジメP15の2つ)
実施すべき目標と管理策は、以下の10項目であるが、細分化すると全体では127項目となり、適用宣言書で該当項目を選ぶ形となる。非該当項目は、審査はしないが非該当の理由をつけることになっている。

  1. セキュリティポリシー
  2. セキュリティ組織
  3. 財産(資産)の分類及び管理
  4. スタッフのセキュリティ
  5. 物理的及び環境的セキュリティ
  6. 通信及び運用のマネジメント
  7. アクセス制御
  8. システムの開発及びメンテナンス
  9. 事業継続マネジメント
  10. 準拠

3.5 ISMS制度の運用

  • 適合性評価制度のスキーム
     ISMS制度は、ISO/IEC 17799に基づくJISに準拠した第三者適合性評価制度であって、(財)日本情報処理開発協会(JIPDEC)が取纏め機関となり、指定審査機関の登録等を行う。情報処理サービス業など第三者評価希望事業者は、指定審査機関に申請・受審・認証を受ける。認証期間は3年(検討中)となっている。
  • 運用(案)
     ISMS制度での認証基準と審査ガイドライン等の考え方は、ほぼ固まっており、上記JISの制定、周知期間等と同期を取りながら、ガイドライン/チェックリスト等の検討に入っている。安対制度を廃止したことで、実質的には4月からこの制度はスタートしたと言える。
    (図B−P17下段)
  • ISMS確立のプロセス
     認証申請単位(組織(事業所等))としての確立のプロセスは次のようになる。
    1. 情報セキュリティポリシーの作成
    2. ISMS適用範囲(対象組織)の決定
    3. リスク評価(アセスメント)
    4. 管理するリスクの決定と管理策の選択
    5. 適用宣言書の作成
       適用範囲、規程一覧、適用している管理策等(基準で要求するもの及び独自の管理策)、法的準拠事項
    6. 管理策の実施(記録など)
    7. 監査
    8. 申請 1.〜7.についてレビューを受ける

 以上により、ISMSの枠組みは、組織(事業所等)のセキュリティに関するすべてが審査対象となるので、まさに情報セキュリティマネジメントシステムのシステム監査そのものと言える。

4. 資料

問合せ先(財)日本情報処理開発協会 情報セキュリティ対策室
E-mail:info@isms.jipdec.or.jp
Web:http://www.isms.jipdec.or.jp/

(主な質疑)

Q: ISMSと17799との関係は
A: 実施すべき目標と管理策の10項目(前掲)は全て同じで、表札が違うだけで中身は同じである。
Q: ISMSの評価制度が始まるのは何時からと考えたらいいか
A: JIPDECでは、旧制度の安全対策認定が今年の9月で切れるグループからトライアルをして、年度末にレビューし、14年度の初めからと考えている。準備は今からやっているので、質問をどしどし上げて欲しい。前出のHPにもFAQが出ている。
Q: 安全対策認定の項目と比べ、厳しくなっている。特にマネジメントシステムの趣旨が分からんと社内で言われることがあるが、どうか
A: 両者をマッピングしてみたが、およそ7割程度は該当していると思われる。適用宣言書が必要なので、トップへの説明が要るが、トップへのPR機会とネタ作りに使って欲しい。
Q: 認証を受けることのメリットは何か。国の後押しはあるのか
A: 国の保証は出てこない。ISMS事務局のビジネスとして行われる。しかし、これには自治体や金融機関が関心を示しており、アウトソーシングの調達基準となり得る可能性がある。ただし、顧客から要求されるようになるまでは若干時間がかかるものと見ている。

(司会の荒川氏より補足)

 ISMSの127項目のうち8項目ばかりはISOの基準よりバーが低くなっているが、いずれ次回の改定ではISOの完全準拠ということになる可能性がある。そのために一歩先んじてBS7799(=ISO17799)をベースにしたBSI(英国機関)の認証を受けようという動きもあり、若干混同がある。ドイツなど諸外国はBSI認証をもとにしたもので行っており、国際的にはISOがメジャーになって行くと考えられる。

(感想)

 ITの世界に国境はないと言われているが、実際にそれが経営現場に関わってくるとお国柄が反映して、国際標準と全く同じにとは行かなくなる。しかし、このままでは駄目という意識もあるわけで、その辺のギャップを埋めながらトップや現場の納得を得るのも監査人に仕事であろうと思う。