 |
≫ |
|
|
|
|
Q:現在、セキュリティに関する認証取得について活動されているということですが、経緯などを教えてください。
|
|
|
|
|
4年ぐらい前から、社内のセキュリティに関する業務に携わるようになりました。
業務内容としては、Windowsシステムのセキュリティ実装について行っていました。たとえば分かりやすいところでいえば、ウイルス対策のようなツールの評価であるとか、構成のテストを行い、社内システムに展開していくという内容です。
実際の業務は、周囲のサポートを受けながら、社内のセキュリティポリシーを吸収するところから始まりました。最初はどこにポリシーがあるのか分からないので、セキュリティーのエキスパートに聞いていく、という手探りの状態でした。
当時はセキュリティに対する認識がまだ低かった時期でした。セキュリティといえばウイルス対策というのが主な認識で、情報セキュリティなどまだまだ考慮されていない頃です。
ですから、セキュリティポリシーやセキュリティツールもあるのに利用されていないということが多々ありました。こちらとしてはセキュリティツールを展開しないといけないわけですが、ツールを入れるとマシンに対する負荷が高くなるとか、社内に閉じた環境で問題ないのだからやらないでもいいんじゃないの?というような意見が社内でも多くありました。
やはり利便性を重視し、コストや手間がかかるからとセキュリティを二の次にされてしまう状態で、セキュリティの重要性も理解されているようで理解されていない。言っていることとやっていることが矛盾しているような状況で、セキュリティの重要性を伝える難しさを感じました。
そんな状況の中で伝えていったのは、後々のセキュリティ強化はかえってお金がかかるということです。確かにセキュリティはある面で利便性と引き換えなくてはならないところもありますが、それでも守るべきものは守っていかないといけない。たとえば何かセキュリティの問題が発生したとすると、会社として最も大きな被害はブランドイメージの低下です。そのようなことを起こさせない、万が一起きてしまった時には二度と繰り返させないためにも、セキュリティポリシーをきちんとシステムに実装していくということを社内で伝えていきました。 |
|
Q:セキュリティに関するISO27001認証を取得した経緯を教えてください。
|
|
|
|
|
認証を取得するということは、セキュリティポリシーを実装するという目標設定ができたということだと思います。
私は、2003年6月にシンガポールで開催された、情報セキュリティ管理の認証の一つである「BS7799」の内部監査員養成コースを受講して、認証取得に関する知識を得ることができました。
そして、まずは社内のITシステムということで、2004年12月に本格的に認証取得に向けた活動が本格的にスタートします。認証取得は日本だけでなくグローバルな活動として行われています。私は認証取得のための活動を運営する事務局のメンバーとして活動を行いました。
社内の活動は、各部門の担当者によるワーキングコミッティを中心に行われました。それに対してマネージメントコミッティが活動に関するヒトやモノをコントロールするという体制です。
2005年1月にコミッティのキックオフを行い、2005年9月15日に最初の審査を受けました。結果、10月に最初の認証を取得することができました。さらに2006年9月には継続審査を受けました。
2007年2月には、外部向けのITシステムについても認証を取得する「拡大認証」を行っています。 |
|
Q:取得のための活動は実際にはどのように行われたのですか?
|
|
|
|
|
ISMS(Information Security Management System)を確立するためには、PDCA(Plan/Do/Check/Act)のプロセスアプローチを取ることが推奨されています。
私たちの取得の場合には、Planの段階で取得範囲を決定しました。キーとなるサービスをサポートしている組織のリーダーにワーキングコミッティに参加してもらいました。人数はおよそ100名程度です。
次に資産の洗い出しを行います。資産の範囲は、ヒトからオフィスの入っているビルのような建物、もちろんシステムや文書など関係するものは多岐に渡ります。
このように洗い出した資産に対してセキュリティの問題が発生した時のリスクレベルを検討します。HPでは、インシデントによるビジネスインパクトに基づいて1から4までの4段階でスコア化を行いました。どうしても担当者はセキュリティの脅威を過小評価してしまいます。そこでワークショップを開催し、資産の洗い出しからリスク分析までのプロセスをケーススタディで学んでもらい、適正な評価を行えるようにしました。
そしてそれぞれのリスクレベルを揃えてグループ化し、インシデント発生時に顧客やシステム運用、ブランドに対して与えるインパクトについてリスク分析を行います。
このようにして行った分析結果に基づき、リスクが高い部分については、プロセスの変更やツールの導入など、リスク軽減の方法を検討します。
これらの分析や検討の作業はワーキングコミッティを中心に実施し、そこから現場に持って行くというアプローチを取ります。ワーキングコミッティでの活動によるアウトプットに基づいて、さらに現場でのトレーニングを実施してもらいました。このようにして、現場の方々にもセキュリティの意識や、認証取得に向けたスキルの向上を図ってもらうというのが活動の全体像です。 |
|
Q:取得にあたって苦労した点はどのあたりでしょうか?
|
|
|
|
|
やはり意思疎通が大変でした。ただ、私たちの場合、すでにシンガポールでの認証取得のための活動での成功事例がありましたから、その点では良かったと思います。
あと、審査にあたっては外部から審査員が来るので、特に最初の審査はどこまで準備をすればいいか分からないというのがありました。セキュリティを高めると、当然トレードオフとして柔軟性が失われていきますし、セキュリティを追求してもキリが無いのも難しい点です。 |
|
印刷用画面へ
