第4回　情報セキュリティ管理対策の紹介

　情報セキュリティの重要性、その標準化の必要性については、前回までに述べてきた。今回は、複数ある情報セキュリティ管理の標準について、なぜ複数の標準が並立しているのか、またそれぞれはどのように関連し合っているのか、実際にセキュリティ管理を行うにあたって、どの標準にどのように対応していったらいいのか等について整理し、確認をしていくことにする。

セキュリティ管理標準の種類

　情報セキュリティ管理に関する標準は、大きく分けて3つのグループに分類することができる。すなわち、１つめはCC（Common Criteria）を中心としたグループであり、このグループは技術的対策が主なテーマとなっている。2つめのグループは組織的なセキュリティに関わるもので、このグループでは組織的な対策や、そのためのセキュリティポリシの策定などがテーマである。3つめは、セキュリティマネジメントにあたり必要となるリスクアセスメントなどの具体的な方法などを示し、ガイドとなるようなグループのものである。

　１つめのグループに属するものは、古くから欧米でITセキュリティ評価のための共通の仕様として用いられていたCCや、これを元にISO/IECによって国際標準化が図られたISO/IEC 15408およびその和訳であるJIS X 5070などが含まれる。このISO/IEC 15408は、IT技術で防ぐことの出来る脅威を対象としており、IT製品やシステムのセキュリティを評価・保証する7段階からなるレベル（EAL：Evaluation Agreement Level）を規定し、それぞれに製品やシステムが、その中の特定のレベルの条件を満たすかどうかを評価するような仕組みを提供している。

　2つめのグループには、イギリス規格協会（BSI）によって標準化されたBS 7799や、その一部を国際標準化したISO/IEC 17799、更にその和訳であるJIS X 5080などが含まれる。このグループでは、先のグループがITのセキュリティという狭い範囲に着目していたのに対し、組織としてのセキュリティポリシの策定やその管理策の実施にまで言及したものとなっており、CIA（Confidentiality：機密性、Integrity：完全性、Availability：可用性）の3項目をその管理の主眼としている。しかしその中には、組織管理の前提である「人の管理」に関わるAAR（Accountability：責任追及性、Authenticity：真正性、Reliability：信頼性）にあまり言及していないため、これが国際標準化を難航させている要因とも言われている。

　3つめのグループには、BS 7799の付録である「PD3000シリーズ」と呼ばれるガイドや、国際標準の技術報告書としてまとめられた情報システムマネジメントのガイドラインであるISO/IEC TR 13335（GMITS）などが含まれる。このISO/IEC TR 13335などでは、情報システムという狭い範囲が対象ではあるが、2番めのグループで欠落していたAARについても言及されている。
　以下では、これらの標準の違いを、それぞれ見ていくことにする。

BS7799

　BS7799は、英国規格協会（BSI：British Standard Institute）によってまとめられたセキュリティ管理に関わる規格である。これは、Part1の実施基準（何をするべきか）とPart2の認証基準（システム仕様：何をしなければいけないか）からなっている。

ISO/IEC 17799とJIS X 5080

　ISO/IEC 17799（2000年版）は、BS7799（1999年版）のPart1をベースに国際標準化されたものであり、JIS X 5080（2002年版）は、このISO/IEC 17799:2000をさらに日本語化したものである。すなわち、BS7799のPart1と、ISO/IEC17799およびJIS X 5080は、あくまでも実施基準であって、認証のための基準（システム仕様）ではない、ということである。ちなみに、ISO/IEC 17799は、10の管理分野とそれぞれに対する合計36の管理目的、そしてその目的達成のためになすべき典型的な127の管理策からなっている。

ISMS（情報セキュリティマネジメントシステム）適合性評価制度

　さて、ISO/IEC 17799やJIS X 5080が実施基準であったのに対し、BS7799を軸に、GMITS（後述）を参照して日本独自の標準として策定された評価制度が、「ISMS適合性評価制度」である。

　そもそも日本には、1977年に告示された「電子計算機システム安全対策基準」を基とし、その後の改定を経て、1995年に「情報システム安全対策基準」の名称となった「情報処理サービス業情報処理システム安全対策実施事業所認定制度」（いわゆる「安対制度」）があった。

　しかし、昨今のインターネットの普及により、もはや安対制度によって堅牢と認められたコンピュータセンターが、イコール安全なコンピュータセンターとは言えない状況になってきており、従来のようないかに物理的な侵入を回避するかに加えて、いかに論理的な（ネットワーク経由などの）侵入「も」排除するか、といったことが必要となってきた。

　この様な背景により、ISO／IEC 17799:2000を基に作成されたのが、ISMSという新しい認証基準である。また、これをもって案対制度自体もその役割を終えることになり、経済産業省は2001年3月をもって安対制度を廃止した。

ISO/IEC TR 13335（GMITS）

　情報セキュリティ管理の仕組みを構築しようとするとき、非常に重要なポイントであり、かつ時間を有するのが、「リスク評価を行う」「管理するリスクを決定」「実施すべき管理目的と管理策を選択する」という項目である。この行為は「リスクアセスメント」や「リスクマネジメント」と言われる。

　一般的にリスクは、『リスク（金額／年）』 ＝ 『予想損失額（金額）』 × 『発生確立（回数／年）』といった数式で表す事ができる。そして、同じセキュリティ対策の費用を投ずるなら、リスクの大きいものから行っていくのが妥当であると考えられる。

　すなわち、リスクマネジメントとは、この様なリスクに対する査定を動的に行い、適切で信頼度の高いセキュリティ対策を選択・実施するための手法ということができるが、そのためには、上記の予想損失額といった定量的な評価だけでは十分でない。この様なリスクアセスメントをより定性的または相対的に行うためには、情報資産の価値や重要度の分類、それに対する脅威の特定、そしてそれらの脅威を引き起こす要因や、脅威に対する管理策の弱点（脆弱性）を適切に評価・分析することが必要となる。

　このような項目を整理・体系化し、詳細に解説をしているのがISO/IECによってまとめられた技術報告書（TR：Technical Report）であるISO/IEC TR 13335（GMITS：The Guidelines for the management of IT Security）である。なお、このGMITSが取り扱う情報とは、基本的には電子媒体の情報のことであり、BS7799やISMS認証基準などが対象としている電子媒体以外も含む「情報」の概念よりは狭い範囲となっている。しかし逆に、GMITSでは、「ITセキュリティマネジメントは、適切なレベルの機密性（confidentiality）、完全性（integrity）、可用性（availability）、責任追跡性（accountability）、真正性（authenticity）、および信頼性（reliability）を達成して維持するためのプロセスである」と定義しており、BS7799やISMS認証基準の情報セキュリティの定義である、「機密性（confidentiality）、完全性（integrity）、可用性（availability）を維持すること」より、そのカバーする範囲においてはより詳細になっている。

ISO/IEC 15408（Evaluation criteria for IT security）

　以前から欧米において、IT製品や個別システムのセキュリティレベルの評価のために用いられていた共通仕様CC（Common Criteria）を元にした国際規格であり、1999年に制定された。この制定にあたりCC自体もバージョンアップが図られているため、同一のものと見てよい。

　この規格は、あくまでも、IT製品やシステムのセキュリティレベルを評価するのが目的であり、セキュリティマネジメントの枠組みに関する規格ではない。ただし、日本国内においても、平成13年8月に経済産業省から出された『ISO/IEC 15408を活用した調達のガイドブック』などでも、e-Japan計画の推進にあたり、各省庁が政府調達を円滑にするための参考になるもの、と述べられており、IT業界に関わるものにとっては、しっかりと把握しておく必要のある規格である。

今回のまとめ

　これまで見てきたように、セキュリティに関する国際規格・標準も数多くが存在しているが、その目的や守備範囲は異なっている。いま自分が必要としているものは何なのか、組織のセキュリティ対策か、IT製品の開発や調達にあたってのガイドラインなのか等をよく考慮し、その必要に応じて、今回の解説を参考にしながら、適切な標準文書を参照いただければ幸いである。