ここではセキュリティ管理フレームワークについてお話します。そもそもフレームワークというのは「このようにしたら合理的にうまくいく方法を整理した枠組み」になります。企業体制を作るにしても、システムを作るにしても、「こういう風にしたいなぁ」というイメージがありますが、どこから決めていけばよいのかわからないものです。そこで、実に合理的で実績もあるお手本の枠組みが必要になってきます。それがフレームワークです。データを守るためのフレームワークがいくつかありますので紹介しましょう。ここでは、ISO/IEC 27000シリーズ、NIST SP 800-37、COBIT、FedRAMP(フェドランプ)、トレッドウェイ委員会組織委員会(COSO)、PCI DSS、ITILを紹介します。
ISO/IEC 27000シリーズは、ISO(国際標準機構)とIEC(国際電気標準会議)が共同制作した適切な情報セキュリティマネジメントを提供するための規定です。コンピューターによって目覚ましい進化を遂げ、生活水準を飛躍的に向上させた一方で、普及したコンピューターはすべてが安全な状態を担保したうえで提供されているわけではありません。コンピューターの安全性が脅かされることによって大きなパニックにつながります。したがって、模範となる組織の情報セキュリティに対するリスクを体系的に検討し、それらのリスクを管理するための方針と手順を決める必要がありました。その方針と手順のことを情報セキュリティマネジメントシステムと言います。その情報セキュリティマネジメントシステムはどういったものかが27000シリーズにまとめられています。
27000シリーズにはいくつもの規格・考え方がまとめられており、様々な観点から情報セキュリティマネジメントが定義されています。特に知っておくべきは、ISO/IEC 27001と27002です。27001は情報セキュリティマネジメントに要求される事項つまり目的であり、27002はBS7799という英国規格協会が定めた従来の規格を踏襲し、情報セキュリティマネジメントの実践のための決まりやテクニックが記述されています。
ISO/IECは単純に27000シリーズのようなお手本を提示するだけではなく、規格通りに実行しているかどうかを確認し、認証する仕組みがあります。組織が27000シリーズに準拠していることが、審査委員から認められると、認証文書が発行されます。審査を受けた組織はその認証文章を持っていることを外部組織に示すことで、自身の組織がまっとうなセキュリティの考え方に則った体制作りが出来ていることを示せます。
次に、NIST SP 800-37です。NIST(米国国立標準技術研究所)からリスクマネジメントフレームワークであるNIST SP 800-37が公開されています。こちらも27000シリーズと似ていますが、組織事業自体のリスクをコントロールすることを目的にしています。NIST SP 800-37の中のRevision 2では、「情報システムおよび組織のためのリスクマネジメントフレームワーク - セキュリティとプライバシーのためのシステムライフサイクルアプローチ」と題して、対象が米国連邦政府の情報システムだけではなく、すべての組織を対象としつつ、プライバシーリスクも明示的に取り扱うことが示されています。
また、FedRAMPは、クラウドの製品やサービスに対するセキュリティ評価、認証、継続的監視に関する認定制度です。オバマ政権下で掲げられた「クラウド・ファースト(Cloud First)」政策を推進するために立ち上げられました。これは、連邦政府全体で安全なクラウドサービスの導入を促進することを目的としています。AWSやAzureやGCPが一気に発展したのはこういった後押しもあったわけですね。FedRAMPでは NIST SP 800 シリーズを使用しており、クラウドサービスプロバイダーは、連邦情報セキュリティマネジメント法 (FISMA)に準拠しているかを確認します。このセキュリティ要件に適合していることが確認され、評価機関から認証を得たクラウドサービスのみが政府業務に関わるクラウドサービスとして契約できることになっています。
次は、COBITです。COBITとは、米国の情報システムコントロール協会(ISACA)とITガバナンス協会(ITGI)が提唱した企業のITガバナンスのフレームワークです。ガバナンスは統治という意味でした。つまり、COBITは組織体制、特に上位層の考えを整理するものです。情報システムコントロール協会によると、「COBITの目的とは、マネジメントとビジネスプロセスとともに情報技術のガバナンスモデルを提供するものであり、情報技術のガバナンスは情報技術から価値を生み出し、理解し、情報技術に関するリスクを管理するものである。」とされています。つまり、経営で情報技術を無視することはできないので、ガバナンスと情報システムがどのように関わるかを整理しました、ということですね。
COBITでは、4つの軸で組織を見ています。1つ目は、計画と組織です。IT戦略およびビジネス目的を達成させるうえでIT部門が最も貢献できるプロセスが含まれています。2つ目は、調達と導入です。IT戦略を適切に実行に移すには、ITソリューションを特定、開発、または取得するのはもちろん、ビジネスプロセスの枠内で実行し、ビジネスプロセスに統合することが必要になります。3つ目は、デリバリとサポートです。セキュリティや継続性を司るオペレーション、教育・訓練といったさまざまなITサービスの提供に関する領域です。4つ目は、モニタリングと評価です。全てのITプロセスは、継続して定期評価の対象としてプロセスの品質及び統制要件に関する準拠の度合いを監視しなければなりません。
トレッドウェイ委員会組織委員会(COSO) では、粉飾決算につながらないように業務の適正化を計るフレームワークを提示しています。粉飾というのは企業業績を示す財務諸表と実態に大きな差が出ることです。多くの投資家や銀行は企業業績を見て投資判断をしますから、その企業業績に実体と大きな差分がある場合、適切な投資判断ができなくなります。その結果、企業にもお金が回らなくなるという悪循環に陥りますので、抑止するフレームワークが必要なのです。粉飾を抑止するのは「領収書をちゃんと出しましょう」と従業員に呼びかければよいのではなく、存在もしない工場機器があるとか、取れていない案件を計上したりとか、バカ高いトロフィー買ったりとか、企業内の様々な行動に対して「実体のないことしてはダメだよね」という意識的な監視や統制が機能していないために起こりえますから、組織全体を監視対象として取り組む必要があるのです。
トレッドウェイ委員会組織委員会から提案されているCOSOキューブでは、業務活動、財務報告、法令順守の企業におけるそれぞれの目的を、モニタリング、情報と伝達、統制活動、リスク評価、統制環境の5つの観点で整理することを示しています。これらの項目によって組織を切り分けることで、健全な組織活動を計ることができ、解決に役立つとしています。
PCI DSSとは、電子決済するときの個人情報流出を避けるためのフレームワーク、もしくはセキュリティ基準です。クレジットカードが代表的ですが、金銭をインターネットでやり取りするためには、相当なケアが必要です。勝手に金銭が盗まれないようにすることはもちろん、不安定な電子決済基盤のうえで成り立つ通貨の価値は健全なものとは言えませんから、体系的な整備が必要だったのです。
特にクレジットカードは単純な暗号化通信だけでは安全を確保できません。例えば、あなたがクレジットカードで家具を買ったとします。買ったという情報が、金融機関、カード会社、家具屋などいくつもの組織を経由することになります。組織や管理の異なるシステムを跨ぐことで、もしクレジットカード番号が家具屋に伝わってしまうと不用意な個人情報の流出につながります。そのため、単一のトランザクション保護にとどまらず、各組織において展開できる情報の領域は絞るという点で特殊であり、クレジットカード業界で統一の決まりが必要なわけです。
最後に、ITILです。ITILはITサービスマネジメントのベストプラクティスをまとめた書籍です。ベストプラクティスはフレームワークとは違います。ベストプラクティスというのは、学術的には最適とは言えないものの、経験上最もよいと考えられる行動になります。現実は、非常に複雑です。どれほど論理的に通っていることでも、成果が得られないこともあるでしょう。そのため、ITILでは実際にやってみて結果のある手法を取り集めているのです。そういうと、成功事例集のような感じにとらえられますが、中身はというとITサービス管理の考え方を整理したもので、そのドキュメントの構成自体がITサービス管理のためのテンプレートになっています。
#ISO/IEC27000 #NISTSP800-37 #COBIT #トレッドウェイ委員会組織委員会(COSO) #PCIDSS #ITIL