第三回 情報モラル・セキュリティ分科会 議事録

第三回(2003/4/17)情報モラル・セキュリティ分科会 議事録
アドバイザ: 日本セキュリティ・マネジメント学会理事 丸重裕子氏
テーマ: 「情報セキュリティの面から見るIT資産管理のあり方」
内容: [IT資産管理のセキュリティ上の課題]についてディスカッションを行いました。
現状
   
セキュリティポリシー策定上の課題
  ・TCO削減、セキュリティ対策など、アプローチの違いにより意見がまとまらない
・部分的なポリシーはあるが、包括的なポリシーを策定できていない
 (業態が統一されていない場合は特に難しい)
セキュリティポリシー運用上の課題
  ・セキュリティポリシーを策定したが、プロシージャまで規定できていない。
・ポリシーの文言の理解が浸透していない。
・技術的/社会的環境の変化にポリシーが追随できていない。
・ポリシーの実行が不徹底
・資産の帳簿は、経理系の人間が管理。セキュリティの管理は情シス。
 どっちも100%ではなく、管理が2重になっている。
 1個所でやりたいが、組織の規模が大きいと困難。
資産管理上の課題
  ・同じ資産でも、購入時期によっては会計上年度が異なる
・ハードウェアは低価格のため、部門に任せてしまっており把握できていない。
・20万円未満のものは資産ではないので、無管理状態になってしまう。
・ソフトウェアは部門購入で、メディアの管理ができていない。
・資産管理上は、資産が存在するかどうかが問題だが、セキュリティ上は
 資産がどのようにあるのかが問題。
・1つのリースで複数台存在し、明細がわからなくなっている。
情報セキュリティ上の課題
  ・規定では媒体はPC/HDDを想定している。しかし、近年ではCDRやUSBメモリ等媒体が多岐にわたって来た。もっとしっかり考えなくてはならない。
 →管理ツールにより、USBメモリ使用状況の確認が可能 <br>・携帯電話の管理。四半期に一度管理する。管理されていれば無駄遣いがへる。
 
・セキュリティ面での情報資産管理というと、情報の分類が重要。極秘/機密/公開可など、ラベルを貼る。電子メールの暗号化。FAX。
ソフトウェア/ハードウェアの購入及び導入標準
 
標準化してしまえば管理は容易だが、新技術のキャッチアップ/業務の効率化/ コスト面を考慮すると、完全な標準化は困難。
スキルの高いユーザからの反発もある。
メーラの統一
ウィルスのターゲットになるOutlookはセキュリティ上標準とし難い。
メーラは日常利用するアプリケーションなので、統一には抵抗がある。
1つに絞るのではなく、2、3種類に幅を持たせ、標準外のものは利用者のセキュリティ対策の実施内容を報告させるという方法が効果的。
Officeの統一
社外顧客等との関係で、利用しているOfficeのフォーマットがばらばらで、ドキュメントを統一できない。
何を管理しなければいけないのか目的をはっきりさせ、自由度を持たせたほうが良い。
厳しく規定するのではなく、禁止事項をしめして縛りをゆるくする。後は、ローカルルールで絞り込んでいく。
バージョン管理
セキュリティの観点からは、細かいバージョンまで意味を持ってくる。 特に、OS/IEはパッチレベルまで把握する必要あり。
個人には管理者権限を与えず、ソフトを入れる際には情報システム部門に申請を出す、等、プロシージャレベルまで規定しないと管理が難しい。

参加各社の状況)
 - インストール作業を個人に任せたら、ヘルプ業務が大変だった。
 - インストール/アップグレード作業の制限を徹底すると、管理コストが1/10まで軽減した。
 - 社員をランク付けし、ランクに基づいて管理している。
 - ソフトは全てキッティング時に提供。標準以外のソフトのインストールを許していない。
 - 社員のスキル向上のため、インストールマニュアルを手渡し、個人に実施させている。
 - 情シス部門は自己責任で作業。どうしようもなくなったら初期化して返す。
ソフトウェア購入のユーザ登録は誰がやるのか?
一般的には購入した人間が行う。

 - 出入りが激しいので変更できない場合は総務が一括で管理するという方法もある。
 - ライセンスが良く理解できていないこともある。(ユーザライセンスなのかCPUライセンスなのか)
 - ライセンス証書を紛失し、資産として計上できていないケースもある。
フリーソフトの扱いは?
  ・自由だが申請を上げている。
・リリースされてから日が浅い物は許可しない。
・共有サーバに使用可能なフリーソフトが入っている。
・規則では原則禁止。
フリーソフトの使用に対し警告を発したいが・・・
・フリーソフトの評価。何を持って安全としているか?
 →雰囲気で決めている。
 →出所。デジタル証明があるか。問い合わせ窓口があるか。
 →コミュニティと交流し、情報収集する。
・規則では個人でインストールすることは認めていず、システム部の了承が必要。
 しかし、それがどこまで守られているかは別である。
 →セキュリティ責任者がどこまでするかは、難しい問題。
・例外SWの利用はは管理者の判断。しかし判断基準は何?
 →そこまでのノウハウのある管理者は少ない。
 →人材育成が必要。大学、企業でスキルマップを出しているところもある。
個人PCの取り扱い
 
RASで自宅のPCをつなぐケースがある。ウィルスは会社貸与で許可するのか?
 →自宅接続でもウィルス対策ソフトは必須である。
個人PCが社内に持ち込まれた時は、会社の責任。業務として許すのであれば管理すべき。
未許可PCは接続禁止としている。開発環境は別途構築し、社内LANとは分離する。
  ◆「媒体の保管」
暗号化
鍵のかかる場所-利用するので持ち出し必要→外での作業もある→メディアの管理
複製の保管。
  ◆「媒体の移動」
郵送せざるを得ない場合=書留、配達証明の利用
一律禁止が現実的であるか問題ある。
→個人情報は高い機密情報であり、機密性の程度で分けてはどうか。
紙情報はOCRでデジタル化している。現実的には媒体を輸送しており、機密度に応じて契約している。社員が直接持っていく場合もある。
媒体といっても色々ある。持ち出しはUSBでつないだメモリスティックで行われるとどうしようもない。
規定上は禁止になっているが、現実はやられ放題になっている。
セキュリティポリシーで、絶対守らなければいけないことと、許容できるところをきっちり分けることが大切。
許容するときは、利用者の責任を明確にするようにする。
また、教育は必要であり、利用者が責任を果たせるようにするのは会社の責任である。
ノートを持って社外へ出かけたときに、持ち忘れや開きっぱなしがないようにする。暗号化するのも方法である。
規則で縛るだけでなく、モラルの問題もある。
現実に守るか否かは別問題である。
ポリシー違反については罰則を設け、辞めてもらうなどの厳しい処置も。
→悪いという知識がない、悪気がない場合がある。やったことがわるいことであるという知識がなければならない。本質的な意味を明らかにしないで罰するのは良くない。
→ヒヤリ、ハットは公開している。セキュリティについてもそうすべきと言うことも聞くが、あまり公開するのも抵抗がある。
→監視するツールがあるということをアナウンスするだけでも抑止効果はあるはずである。
  ◆「媒体の再利用」
◆「PCと媒体の廃棄」
媒体のリサイクル利用は業者に完全に消去させること
個人のPCを廃棄する場合は、HDDをフォーマットしたくらいで下取りに出してしまう。個人のセキュリティ意識を高めるために教育項目に取り入れる
リースやレンタル物件の処置は?
→HDDイレーサで費用を掛けて返却している。経費がかかり、ほとんど持ち出し。
利用や廃棄だけでなく、修理の際の交換の場合にも注意を要する。
自社のPCであっても、環境問題から物理的に壊せない、あるいは修理が難しいということもある。
PCは20万円くらいのものであるが、中の情報資産の価値はその重要性で様々。
廃棄PCの中に何が入っているか、その価値がどのくらいか分からないと対処しにくい。PC内の情報の重要度を規定すべきか?
→現実には難しいのではないか。規定化はできても、実際の運用が出来るかは難しい。扱う人間が重要度を認識しなければ始まらない。
使用状況→ネットワークにつないでいるか
情報利用関係→どんな情報を入れているか機密レベルで分ける。
IT資産管理規定の作成はセキュリティポリシーと衝突しないか。
もし規定するなら、プロシージャレベルまで落とさないとできない。
IT資産管理を別立てにし規定化するか、セキュリティポリシーの中に入れるかは難しいところである。
「IT資産管理規定に該当するポリシー」に該当する、「ソフトウェア/ハードウェアの購入及び導入標準」該当項目
  ・LANにおけるPC(サーバ、クライアント等)設置/変更/撤去の基準
→ 4.1/4.2/4.3/4.4/4.5
・サーバ等に関する標準
 → 4.3
・クライアント等におけるセキュリティ対策標準
 → 4.2/4.4/4.5/4.6/4.7
・ウィルス対策標準
 → 4.1/4.2/4.3
・→システム維持に関する標準
 → 4.1/4.2/4.3/4.4/4.5