IPAの情報処理技術者試験における情報セキュリティマネジメント試験では下記のように記載されています。
「情報セキュリティマネジメント試験は、情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験です。」
計画・運用・評価・改善とはいわゆるPDCAです。
弊社が定義する情報セキュリティマネジメントとは、システムとオペレーションの標準化のための全てのプロセスを指します。
システムの標準化は分かりやすいと思います。
脆弱性対応やサービス継続のための性能監視・冗長化、障害復旧手順の作成・試験など、必要な管理策を定義し、GAPを埋めていくというプロセスになります。
オペレーションの標準化についてですが、ここでいうオペレーションとは、いわゆるDevOpeのようなシステムそのものの運用を指すわけではなく、システムを使って日々の業務をおこなうユーザ部門担当者のオペレーションを指します。
ほとんどの企業において、日常的な業務の中で個人情報や機密情報の取扱いが発生します。
システムをどれだけセキュアにし、ネットワークを分離していたとしても、オペレーションが標準化されていなければ社内ネットワーク上に大量の機密情報が存在してしまいます。社内ネットワークはインターネット接続可能な場合がほとんどであるため、標的型攻撃を受けた場合のリスクが高いまま放置されていることになります。
2015年の日本年金機構の情報漏えい事故は、まさにこのオペレーションに根本的な課題があったと言えます。
公表されている事故報告書によると、基幹システムへの侵入及び基幹システムからの漏えいは確認されていません。
基幹システム自体はネットワーク分離されており、端末が遠隔操作されていたとしてもアクセスすることが出来なかったためです。
それでは何故情報漏えいが発生したのでしょうか。
実は、日本年金機構では、基幹システムから共有ファイルサーバにデータを移行して業務を遂行していました。
マルウェア感染した端末から遠隔操作で共有ファイルサーバにアクセスされ、年金情報が窃取されました。
日本年金機構としても原則ファイルサーバに個人情報は置かない、置く場合にはアクセス制御とパスワード設定を必須とする、というルール自体はありました。
しかし、これらのルールは努力目標に近いものであり、リスク低減のための抜本的対策になり得ません。
点検するにしても、ファイルサーバ内の全ての情報を確認することは現実的ではなく、システム連携含めたオペレーション改善が必要となります。
情報セキュリティマネジメントとは、システムとオペレーションの両軸で現状把握・リスク分析を行い、リスクを低減していくプロセスとなります。