第509号コラム:石井 徹哉 理事(千葉大学 副学長 大学院専門法務研究科 教授)
題:「情報セキュリティ対策基準とその運用」
情報セキュリティを確保するために、情報セキュリティポリシーを策定し、情報セキュリティ対策基準に基づいて実施手順書に従って情報セキュリティを実施していくことが必要であると一般にいわれています。もしかすると、組織によっては、どこかのガイドライン的な対策基準や実施手順書をそのまま自組織のものとして流用して策定してみたものの、それだけで終わっているかもしれません。あるいは、流用したことをそのまま墨守しようとしているかもしれません。また、個々の点について、流行であるからとか、セキュリティの専門家がそういっているからということでそのまま倣っていることがあるかもしれません。
しかし、セキュリティの問題において重要なことは、自組織の情報資産に関するリスクを評価し、それに基づいてリスクを最小化したり、場合によってはリスクをそのまま放置したりする判断をして、そのための施策を実行していくことにあるといえます。その際、短期的な目標と対策、中期的な目標と施策を分けたりして検討することが必要といえるでしょう。
例えば、最近ネットで話題となったものにパスワードポリシーがあります。日経新聞の記事「パスワード「頻繁に変更はNG」 総務省が方針転換」によれば、総務省の「国民のための情報セキュリティサイト」において従来記載されていたパスワードの定期変更の必要性がこれを不要にするということへと変更されたことが報道されています。その理由として、NISTのガイドラインとしてサービス提供者がパスワードの定期変更を要求すべきでないと示されたこと、NISCの情報セキュリティハンドブックでパスワードの定期変更が不要であることが示されたことなどが述べられています。
総務省のものもNISCのものも、ユーザの視点からの記載であることに留意しなければならないのはもちろんのこと、例えばこの日経の記事により「パスワードの定期変更は不要」ということだけがバズることで、無反省にこれに従うということは、適切なセキュリティの判断とはいえないでしょう。自組織のもつ情報システムとそれぞれのシステムで扱っている情報資産の内容、それぞれのリスク評価を適切に行い、さらにそれぞれのシステムを取り扱う構成員のセキュリティの水準、セキュリティ意識の状況なども考慮し、適切なパスワードポリシーを設定することが必要です。また、ワンタイムパスワードなどの多要素認証が導入されているか、通常と異なるアクセスがあった場合にユーザに通知がなされるシステムなのかなども考慮される必要があります(NISTのガイドラインは、リスク評価に応じて必要とされる認証タイプを示しています)。少なくともある方策・施策だけを取り上げてそれをするかしないかを決定するのは、思考停止であり、リスクに応じて管理策を決めるというセキュリティの考え方にそうものとはいえないでしょう。パスワードの定期変更を要求しない場合、ユーザ以外の者がアクセスしたことに気付くことができるかどうかがもっとも重要になりますが、そうすると、例えばログイン履歴をユーザがチェックする習慣が根付いていたり、通常と異なるアクセスについてアラートがでたり、ワンタイムパスワードの通知が届いたりといった仕組みなどがリスク低減には必要な気がします。
また、過去に認証情報の使い回しがよくなされており、別の組織、ネットワークサービスでの認証情報の漏えいから取得されたものが名寄せされ、このリストを取得した者による当該組織を標的とした不正アクセスの攻撃の際には、一定期間でパスワード変更をさせるということが意味をもつことがあります。定期変更ではないにしても、ある時期に一斉に強制的に変更させることが場合によってはセキュリティ上有効に機能することもあります。定期変更の是非のみならず、いつパスワードを変更させるかも場合により必要なセキュリティ判断といえます。いずれにせよ、安易なパスワードの使い回しをさせず、メモ書きや付箋もなしにしていくことも考慮しないといけませんし、どのような施策が妥当かは、それぞれの組織に固有のものとしてそれぞれ独自に判断していくことが必要でしょう。
それにしても、情報セキュリティ対策基準などの世の中に出回っているものの多くが事細かにシステムの仕様書のように記述されているのですが、もうすこし一般的、抽象的に記載できないものなのかとは思います。人の行動を律するルールは、適用する場面がつねに1回限りの事案ごとの判断である以上、具体的状況に応じて解釈適用できるある種の柔軟性が必要なのですが、どうもそうではないルールの決め方が多いような気がしています。
【著作権は、石井氏に属します】