情報セキュリティ・マネジメントの有効性 に関する研究

情報セキュリティ・マネジメントの有効性 に関する研究

－ゲーム理論によるモデル化と分析－

杉浦 昌

電気通信大学大学院情報システム学研究科 博士（工学）の学位申請論文

2012 年 3 月

情報セキュリティ・マネジメントの有効性 に関する研究

－ゲーム理論によるモデル化と分析－

博士論文審査委員会

主査 太田敏澄 教授

委員 福田 豊 教授

委員 鬼塚 真 准教授

委員 阪口 豊 教授

委員 吉永 努 教授

委員 吉浦 裕 教授

著作権所有者 杉浦 昌

2012 年

A study on Effectiveness of the Information Security Management

： Modeling and Analysis using Game Theory

Masashi Sugiura

Abstract

We used game theory to model and analyze the implementation and management of IT security.

We found that security was typically insufficient and examined various ways to increase it. In a conventional organization, technical measures such as the encryption of data files and channels or a correction of the vulnerability of hardware and software are generally important for implementing security. However, a significant number of security incidents have occurred because employees did not carry out the necessary security measures. To prevent this, we need to clarify the human behavior related to security implementation in the organization and to promote effective security measures. We developed a quantitative model based on game theory related to IT-security promotion and implementation in an organization. We clarified the kind of organizational conditions in which an employee does or does not carry out security measures.

Furthermore, we clarified the desired and undesired conditions for security implementation in an organization. In addition, we showed that an extremely undesirable dilemma that does not attract attention might occur. We then examined this model using an example of an IT-security incident that did occur. Using data public statistics and survey data, we calculated the parameters of the example in the model quantitatively and showed that this model appropriately expresses this example. We thus showed the possibility that this model appropriately expressed IT-security implementation of an organization. Furthermore, by using this model quantitatively and examining how to improve security measures, we found a way to ensure that an organization has a desirable level of IT security.

情報セキュリティ・マネジメントの有効性 に関する研究

－ゲーム理論によるモデル化と分析－

杉浦 昌 概要

本研究は，企業などの組織でセキュリティ対策が適切に実行されない状況について，

ゲーム理論によるモデル化を行い，その解決の方向性を見出すことを目的としたもので ある．

従来，一般に行われているセキュリティ対策としては，データファイルや通信路の暗 号化，ハードウェア・ソフトウェアの脆弱性の修正，電子署名による利用者及びデータ の適正性の保証と確認などが主なものであった．しかし，実際のセキュリティ事件・事 故では，実行するよう定められたセキュリティ対策を利用者が守らなかったために発生 した例が非常に多い．例えば，利用を禁止されている Winny や Share，CABOS などのファ イル共有ソフトを使用している中でのいわゆる「暴露ウイルス」への感染による情報漏 えい事故や，同じく持ち出しが禁止されているデータを USB メモリなどの外部記録媒体 に入れて持ち帰り，その帰宅途中で紛失したり盗難にあったりする事故，業務用パソコ ンの動作が遅くなることを嫌ってウイルス対策ソフトの機能を停止したことによるウイ ルス感染事故などの例がある．これらの事件・事故は，従来行われてきた技術的な方策 を中心とするセキュリティ対策では解決出来ない．このため，組織におけるセキュリテ ィ対策の実施に関する人のふるまいを明らかにした上で有効なセキュリティ対策を実施 するマネジメントが必要である．

そこで本研究では，ゲーム理論を用いて組織におけるセキュリティ対策の推進と実施 をモデル化し定式化した．ゲームのプレーヤはセキュリティ施策の推進者と施策の実施 者である従業員とからなり，それぞれのペイオフによってゲームが構成される．これに より，従業員が，組織がどのような状態のときセキュリティ対策を実施しどのような状 態のとき実施しないかを明らかにし，その境界条件を求めた．さらに，組織としてセキ

ュリティ対策上望ましい状態，望ましくない状態となる条件を明確にし，従来は注目さ れていなかった極めて望ましくないジレンマ状態が従業員に発生する場合があることも 示した．

次に，実際に発生したセキュリティ事件・事故の事例を用いて，構築したモデルの検 証を試みた．セキュリティ事件・事故の場合，セキュリティという特殊性ゆえに，その 内容はほとんど公開されておらず，定量的に分析した例や詳細な内容を追跡調査した例 も極めて少ない．とりあげた事例についても，公開された情報は限られていた．そこで 本研究では，公開されているさまざまな統計データや調査データを用いることによって，

事例の各パラメータを定量的に算出した．この結果，構築したモデルがこの事例を適切 に表現していることを示し，本モデルが組織のセキュリティ対策の実施を適切に表現で きる可能性を示した．

さらに，構築したモデルを用いて，この事件・事故事例におけるセキュリティ対策の 改善策を検討した．いくつかの改善策について，それを実施した場合にどの程度セキュ リティ対策の推進の改善に寄与するかを定量的に検討するとともに，それらの結果をセ キュリティ対策推進における実際の経験と対比した．これにより，本事例における効果 の高いセキュリティ対策と効果の低いセキュリティ対策を明らかにし，さらに，セキュ リティ対策の推進上望ましい状態に変化させる方策を見出した．

以上のように，本研究では，組織のセキュリティ対策の改善と推進に寄与する有用な結 果が得られた．

目次 目次 目次 目次

１章 序論 … 1

1.1. 背景 … 1

1.2. 本研究の目的と意識 … 2

1.2.1 本研究の目的 … 2

1.2.2 本研究の意義 … 2

1.3. 本論文の構成 … 2

２章 情報セキュリティマネジメントの現状と課題 … 4 2.1. 情報セキュリティマネジメントの現状 … 4

2.1.1 世界の動き … 4

2.2.2 日本の動き … 9

2.2. セキュリティエコノミクス …16 2.2.1 海外のセキュリティエコノミクスの状況 …16 2.2.2 セキュリティ事例に対するセキュリティエコノミクスの観点 …16

2.3. 先行研究 …21

2.3.1 ソーシャルキャピタルの観点からの研究 …21

2.4. 本研究の位置づけと課題 …22

2.4.1 現状のセキュリティマネジメントの問題点と解決すべき課題 …22

2.4.2 ゲーム理論の適用 …24

３章 組織のセキュリティ対策推進モデルの構築 …26

3.1. 背景 …26

3.2. 先行研究と本研究の位置付け …26

3.2.1 従来の研究 …26

3.2.2 本研究の位置づけ …27

3.3. 組織のセキュリティ対策の分析 …27

3.3.1 セキュリティ推進の体制 …27

3.3.2 セキュリティ対策推進部門と従業員の目的の違い …28 3.3.3 セキュリティ対策に必要な費用の負担 …28 3.3.4 実施するセキュリティ対策 …28 3.3.5 対策の選定とリスクアセスメント …29

3.4. 組織のセキュリティ対策 …29

3.4.1 プレーヤ …30

3.4.2 戦略 …30

3.4.3 推進部門のペイオフG1 …30 3.4.4 従業員のペイオフG2 …31

3.4.5 セキュリティ対策推進ゲームの利得構造 …33 3.5. ゲームに基づくセキュリティ対策の分析 …34

3.5.1 ペイオフの大小関係 …34

3.5.2 ゲームの種類と境界条件 …35

3.6. 考察 …38

3.6.1 各ゲームのセキュリティ事象 …38 3.6.2 セキュリティ対策を推進する上で望ましいゲームの状態とx、yの値 …40 3.6.3 各ゲームの状態となる条件 …41 3.6.4 ペナルティVの効果の減少 …43 3.6.5 インセンティブを導入した場合の効果の減少 …43 3.6.6 本モデルの有効性と今後の可能性 …44

3.7. 結論 …44

3.8. 今後の課題 …45

４章 実際の事故事例に基づくモデルの妥当性の検証 …46

4.1. 背景 …46

4.2. 先行研究と本研究の位置付け …46

4.2.1 従来の研究 …46

4.2.2 本研究の位置づけ …48

4.3. セキュリティ事例の分析 …48

4.3.1 本研究でとりあげるセキュリティ事例 …48

4.3.2 パラメータの算出 …49

4.3.3 ゲームの状態 …53

4.4. 考察 …56

4.4.1 改善案 …56

4.4.2 本モデルの現実面での利用 …63 4.4.3 本モデルの妥当性と他の事故事例による検証の可能性 …64

4.5. 結論 …65

4.6. 今後の課題 …65

５章 考察 …66

5.1. 研究成果のまとめ …66

5.2. 研究の展望と限界 …66

６章 結論と今後の課題 …68

6.1. 結論 …68

6.2. 今後の課題 …68

謝辞 …70

文献 …71

図目次 図目次 図目次 図目次

図 1.1 本研究の構造 … 3

図 2.1 OECD セキュリティの９原則 … 5 図 2.2 OECD プライバシーの８原則 … 5 図 2.3 ISMS プロセスに適用される PDCA モデル … 7

図 2.4 27001 の構成 … 8

図 2.5 27002 の構成と内容（抜粋） … 9 図 2.6 e-Japan 戦略Ⅱの内容（抜粋） …10 図 2.7 セキュリティポリシー文書の構成 …11 図 2.8 組織の ISMS 確立の流れ …13 図 2.9 PCI DSS の６つの目的と 12 の要件 …15 図 2.10 CCC のボット感染者対策の活動 …17 図 2.11 情報セキュリティ対策自己判断テストの項目と出力の例 …25

図 3.1 ゲームの種類と空間 …37

図 3.2 取り得るゲームの種類 …41

図 4.1 本事例の状態 …53

図 4.2 P2 の値による状態の変化 …55 図 4.3 P2 が 0％、7.62％、13％のときのｘとｙの値 …56 図 4.4 パスワード変更期間の延長による Ca の低減 …58

図 4.5 ペナルティ V の増加 …60

図 4.6 ペナルティ V を法定範囲以上にしたときの P2 によるｘ、ｙの値 …61 図 4.7 暗号化ソフトウェアの使用とパスワードの変更期間の延長

による、推進時の従業員の対応コスト Ca と事故が発生したときの

損失量 Y2 の低減 …63

表目次 表目次 表目次 表目次

表 3.1 変数一覧 …33

表 3.2 セキュリティ対策推進ゲームのペイオフマトリックス …34 表 3.3 各ゲームにおけるナッシュ均衡とパレート最適を記した利得表 …36 表 4.1 情報セキュリティ事故の経験 …52 表 4.2 本セキュリティ事例のパラメータの値 …52 表 4.3 Ca を改善したときのパラメータの値 …57 表 4.4 ペナルティ V を法定内で増加させたときのパラメータの値 …59 表 4.5 暗号化ソフトウェアの使用とパスワードの変更期間の延長

を行った場合のパラメータの値 …62

1 章 章 章 章 . 序論 序論 序論 序論

1.1. 背景 背景 背景 背景

近年、情報セキュリティが大きな問題となっている。セキュリティ事件・事故は、発 生すると大きな損害につながる場合が多い。1999年に発覚した宇治市での漏えい事件の 場合、住民への実際の賠償額は一人あたり1万5 千円であった[大阪高等裁判所 01]。 また、セキュリティ関連団体の調査報告書によれば、個人情報が漏えいした事故の1人 あたりの平均想定損害賠償額は4万3,632円、事故の1件あたりの平均想定損害賠償額 は1億8552万円であった[NPO日本ネットワークセキュリティ協会 09]。

このため、組織においても情報セキュリティ対策は大きな課題となっており、多くの 組織ではセキュリティ対策に多大な費用と労力を注いでいる。しかし、技術的な対応だ けでは限界があり、技術と並んでマネジメントも重要であることが、車輪の両輪になぞ らえて指摘されている[経済産業省 03a]。セキュリティマネジメント対策には、セキュ リティポリシーの作成、運用、監査、それらを通しての組織のPDCAサイクルの確立と 維持、などがある。多くの組織や企業に認知され実践されており、セキュリティコンサ ルティング企業のサービスメニューとなっている例も多い。

それにもかかわらず、実際には、定められた方策が守られずに事件・事故に至った例 が数多く発生している。例えば，持ち出しが禁止されているデータを持ち出してそれを 紛失もしくは盗難被害にあって情報漏えい事件となったり、使用を自粛するよう強く求 められているP2Pファイル共有ソフトがインストールされた個人用PCで業務を行って いる中で暴露ウイルスに感染して情報漏えいとなったりする事件・事故が絶えない。

同様のセキュリティ事故はすでに過去数年にわたり新聞やテレビ、ラジオ等で数多く 報道され大きな話題になっている上、事故を起こした本人の所属組織のセキュリティ管 理部門は注意喚起や禁止行為の通達を出していたケースが多い。政府から注意喚起が出 されたこともある[内閣官房長官 06]。したがって、事故を引き起こした本人がその危 険性を全く知らないまま実行して事故が発生したとは考えにくく、本人はある程度は危 険性を認識していたと思われる。データを持ち出した理由が自宅で業務を行う目的であ ったケースも多い。多少の危険性を感じつつも業務の必要性を優先させた結果の可能性 がある。

このように、従業員が自らの判断で意図的に組織のセキュリティ管理者の指示に従わ ない場合，従来よくいわれている教育や普及啓発の徹底などのマネジメント策だけでは これらのセキュリティ事故を防ぐことはできない。従業員のふるまいのメカニズムをあ きらかにした上でセキュリティ対策を考える必要がある。

またこの場合、組織は本来、セキュリティ対策を行うことによる従業員の業務効率の 低下を見越したマネジメントを行うべきである。しかし現状では、従業員が推進部門の 指示に従わないメカニズムが明らかになっていないため、具体的にそのような観点から のマネジメントを行える状況に至っていない。そこで、本研究によってメカニズムを明 らかにし、今後、このような事態に陥らないマネジメントを行うことのできる、より良 い組織の実現が可能となることをめざす。

1.2. 本研究 本研究 本研究の 本研究 の の の目的 目的と 目的 目的 と と意義 と 意義 意義 意義

1.2.1 本研究本研究の本研究本研究のの目的の目的目的目的

本研究は、この状況を打破し、企業業などの組織における情報セキュリティ対策 が適切に行われる解決策を見出すことを目的とする。この目的のため、組織におけるセ キュリティ対策の推進と実施をモデル化し定式化する。具体的には、セキュリティ対策 の推進部門と、その指示によって実際のセキュリティ対策を行う従業員とからなる、組 織のセキュリティ対策推進モデルを構築する。そして、モデルの検証のため、実際のセ キュリティ事件・事故の事例をモデルを用いて分析し、その妥当性を検証する。これに より、組織のセキュリティ対策を適切に行うことを可能とする知見を得る。

1.2.2 本研究本研究の本研究本研究のの意義の意義意義意義

これまでのセキュリティマネジメントは、情報資産の管理とその評価、PDCAサイク ルの実行、ベスト・プラクティスと呼ばれるセキュリティ管理策の網羅的な実施などが 主なものであり、定められたセキュリティ対策がなぜ実行されない場合があるかの原因 とメカニズムまで考慮にいれたものではなかった。本研究では、組織のセキュリティ対 策の状況をあらわすモデルを構築し、それを用いることによってセキュリティ対策の有 効性の評価が可能となることを示す。

本論文で提案するモデルとそれを用いたセキュリティ対策の有効性の評価は、情報セ キュリティ対策を推進するためのセキュリティマネジメントに対して有益な知見を提供 するものと考える。すなわち、本研究の意義は、組織のセキュリティ対策を適切に行う ことを可能とする知見を示す点である。

1.3. 本論文 本論文 本論文 本論文の の の の構成 構成 構成 構成

本論文の構成を以下に示す。2 章では、組織における情報セキュリティマネジメント の現状と課題について述べ、3章、4章で取り組む研究課題の位置づけを示す。

3 章では、組織のセキュリティ対策推進モデルの構築を行う。実際の組織で行ってい るセキュリティ対策の状態を分析し、セキュリティ対策推進のモデルを構築してその構

造と特性を明らかにする。具体的には、ゲーム理論を用いてセキュリティ対策の推進部 門と組織内の従業員からなるゲームを構築する[杉浦 11]。

4 章では、3 章で構築したモデルの妥当性を検証する。現実のセキュリティ事件・事 故の事例をとりあげ、モデルのパラメータ値を定量化して事例を分析する。モデルが示 すセキュリティの特性と事例の実際の状況とを比較することにより、モデルが実際の事 象を適切に表現していることを確認する。

さらに、いくつかのセキュリティ対策案を分析し、本事例においてどのようなセキュ リティ対策を行うとセキュリティ対策の推進の上で効果があるかをモデルの上から求め るとともに、それらのセキュリティ対策を従来の経験と比較して、その妥当性を検証す る [Sugiura 11]。

5章は3章、4章の結果を踏まえた考察を述べ、6章では結論と今後の課題を述べる。

図1-1は、本研究の構造を示したものである。

図1-1 本研究の構造

2 章 章 章 章 . 情報 情報セキュリティマネジメント 情報 情報 セキュリティマネジメントの セキュリティマネジメント セキュリティマネジメント の の の現状 現状 現状 現状と と と と課題 課題 課題 課題

2.1. 情報 情報 情報 情報セキュリティマネジメント セキュリティマネジメント セキュリティマネジメント セキュリティマネジメントの の の の現状 現状 現状 現状

最近、セキュリティマネジメントの重要性が認識されるようになってきた。セキュリ ティマネジメントに関する世界的な動きや国際規格の制定の動きを説明し、それを受け た日本政府の動き、国内のセキュリティポリシー作成やセキュリティ規格制定の動き、

それら規格に基づいたセキュリティの認証制度の動きなどについて述べる。

2.1.1. 世界世界世界の世界ののの動動動動きききき

（１）OECDのセキュリティガイドライン

ITが日常の社会に大きな役割を果たすようになり、セキュリティが重要になってきた。

さらに、ITの分野では、国と国とをまたがって相互の通信や情報の交換が多く行われる ため、１つの国のなかだけでその対策を行うことが難しくなってきた。

このようななか、IT分野におけるセキュリティの考え方について世界中の多くの国の 間で共通認識を確認し、それぞれの国が対策をとることを宣言する共同声明が、OECD

（経済協力開発機構）の2002年7月の会合で採択された。これが「情報システム及びネ ットワークのセキュリティのためのガイドライン」である[経済産業省 02a][ 経済産業 省 02b]。OECDは、経済成長、開発途上国援助、多角的な自由貿易の拡大の3つを大 きな目的としているが、近年の国際社会や国際経済の多様化の流れを受け、環境、エネ ルギー、農林水産、科学技術、教育などの、経済・社会の広範な分野でも積極的な活動 を行っている。セキュリティの問題もその重要性からOECDの勧告として採択された。

このガイドラインは、1992年にOECDから発行された「情報システムセキュリティ のためのガイドライン」がもとになっている。これを改定する形で、ITシステムやネッ トワークの技術的な進歩や発展、それらをとりまく環境の変化を取り込んで、2002年の 7月に、OECD理事会の勧告として採択された。本来は2003年の作成を目指していたが、

2001年9月11日の米国における同時多発テロ事件の発生を受け、本来の計画を前倒し して作成された。

このガイドラインでは、インターネットが急速に発展するにともなって不正アクセス やウイルス・ワーム被害が急増してきた状況を鑑み、その冒頭で「セキュリティ文化

（Culture of security）という考え方を示している。このなかで、セキュリティの確保は一

部技術者や管理者だけの責任ではなく、ITを利用したりそれに関与したりしているすべ ての人（参加者）が心がけるべきことであり、それぞれがセキュリティ意識を持つべき であるとしている。そして、セキュリティの対策とマネジメントに高い優先順位を割く べきであるとしている。わが国も、この考え方を参考として各種のセキュリティ政策を

決定している。

このガイドラインでは、図2.1に示す９つの原則を述べている。

(1) (1) (1) (1) 認識認識認識認識 (Awa(Awa(Awa(Awareness)reness)reness)reness)

(2) (2) (2) (2) 責任責任責任責任 (Responsibility)(Responsibility)(Responsibility)(Responsibility)

(3) (3) (3) (3) 対応対応対応対応 (Response)(Response)(Response)(Response)

(4) (4) (4) (4) 倫理倫理倫理倫理 (Ethics)(Ethics)(Ethics)(Ethics)

(5) (5) (5) (5) 民主主義民主主義民主主義民主主義 (Democracy)(Democracy)(Democracy) (Democracy)

(6) (6) (6) (6) リスクアセスメントリスクアセスメントリスクアセスメントリスクアセスメント (Risk assessment)(Risk assessment)(Risk assessment)(Risk assessment)

(7) (7) (7) セキュリティ(7) セキュリティセキュリティセキュリティののの設計及の設計及び設計及設計及びびび実装実装実装実装

(Security design and implementation)(Security design and implementation)(Security design and implementation)(Security design and implementation)

(8) (8) (8) (8) セキュリティマネジメントセキュリティマネジメントセキュリティマネジメントセキュリティマネジメント (Security management)(Security management)(Security management)(Security management)

(9) (9) (9) 再評価(9) 再評価再評価再評価 (Reasses(Reassess(Reasses(Reassessssment)ment)ment)ment)

図2.1 OECD セキュリティの9原則

（２）OECDのプライバシー保護に関するガイドライン

同じくOECDから、プライバシーに関するガイドラインも出されている。

OECDは、1980 年 9 月、プライバシーと個人の自由を保護しつつ個人データの国際 流通に対する不当な障害を除去することなどを目的として、「プライバシー保護と個人デ ータの国際流通についてのガイドライン」を勧告した[外務省 80]。

本ガイドラインは図2に示す８つの原則からなる。

本ガイドラインは、次に述べるEUデータ保護指令とともに、日本の個人情報保護法 の作成において参考とされている。

(1) (1) (1) (1) 収集制限収集制限収集制限の収集制限ののの原則原則原則原則

(2) (2) (2) (2) データデータデータ内容データ内容の内容内容ののの原則原則原則原則

(3) (3) (3) (3) 目的明確化目的明確化目的明確化の目的明確化ののの原則原則原則原則

(4) (4) (4) (4) 利用制限利用制限利用制限の利用制限ののの原則原則原則原則

(5) (5) (5) (5) 安全保障安全保障安全保障の安全保障ののの原則原則原則原則

(6) (6) (6) (6) 公開公開公開の公開ののの原則原則原則原則

(7) (7) (7) (7) 個人参加個人参加個人参加の個人参加ののの原則原則原則原則

(8) (8) (8) (8) 責任責任責任の責任ののの原則原則原則原則

図2.2 OECD プライバシーの8原則

（３）EU指令による個人情報保護

欧州諸国は個人情報保護についての意識が強いため、法やガイドラインによる規制を 強く推し進めている。1995年、EU（European Union：欧州連合）は、いわゆるEUデー タ保護指令「個人データ処理に係る個人情報の保護及び当該データの自由な移動に関す る欧州議会及び理事会の指令」を公示した。98 年から施行されており、構成国に対し、

個人データに関する十分なレベルの保護が行われていない第三国への個人データの移動 を禁じている。EU各国や、EUと関連の深い国々では、本指令に対応するよう各国国内 における個人情報保護の整備が進められている。

（４）セキュリティマネジメントの国際規格

セキュリティマネジメントの重要性への認識が高まるなか、2000 年、ISO/IEC 17799:2000 Information Technology -Code of practice for information security management が 制定された。これは、英国の国内規格 BS7799-1 がもととなっている。制定の可否につ いてはさまざまな議論があったが、国際投票の結果最終的にISO化された。さらにこの 規 格 は 将 来 の 発 展 と 体 系 化 を 見 越 し 、 内 容 は そ の ま ま に 規 格 番 号 が 変 更 さ れ 、 ISO/IEC27002:2005 Information technology -Security techniques- Code of practice for

information security management（情報技術－セキュリティ技術－情報セキュリティマネジ

メントの実践のための規範）となった。同時に、要求事項をまとめたISO/IEC 27001:2005 Information technology -Security techniques- Information security management systems-

Requirements （情報技術－セキュリティ技術－情報セキュリティマネジメントシステム

－要求事項）もあわせて制定された。（以下、特に必要のない限り、ISO/IECは省略して 記す。）

27001 は、情報セキュリティマネジメントシステム（ISMS: Information Security

Management Systems）を確立、導入、運用、監視、レビュー、維持及び改善するための

モデルを示している。ここでいうISMSのmanagement Systemとはハードウェアやソフ トウェアなどの管理システムのことではなく、組織の構造、方針、計画策定活動、責任、

実践、手順、プロセス、経営資源などを含む、組織の活動全体をあらわしている。27001 は、組織が有効に機能するためにはプロセスアプローチと呼ばれる運用管理を行う必要 があるとし、利用者が次の4つを重視することを求めている。

(a) 組織の情報セキュリティ要求事項を理解し、かつ、情報セキュリティのための 基本方針及び目的を確立する必要性を理解する。

(b) その組織の事業リスク全般に対する考慮のもとで、組織の情報セキュリティ リスクを運営管理するための管理策を導入し、運用する。

(c) そのISMSのパフォーマンス及び有効性を監視し、レビューする。

(d) 客観的な測定に基づいて継続的に改善する。

27001 は、品質の 9000 シリーズや環境の 14000 シリーズなどの規格と同じく

Plan-Do-check-act（計画－実行－点検－処置）からなる PDCA モデルを採用している。

図2.3に、27001におけるISMSプロセスに適用されるPDCAモデルを示す。

図2-3 ISMSプロセスに適用されるPDCAモデル

（JIS Q 27001:2005より抜粋）

27001は情報セキュリティマネジメントの基本的な考え方と進め方を規定したもので、

要求事項（Requirements）であるためこれを必ず実践することが求められる。しかし、

細かいセキュリティ管理策を記述したものではないため、理念や考え方を規定する内容 となっている。

図2.4に全体の構成を示す。セキュリティマネジメントの基本的な考え方や進め方を 規定した規格であることがわかる。

図2.4 27001の構成

27002は、表題が示すように、規範（Code of practice）である。すなわち、絶対に守

らなければならない基準というわけではない。情報セキュリティマネジメントを実践し ていく上で望ましい管理策や、効果があると思われる管理策を記述した、いわば「よか れ集」という意味合いを持つ。

各章のうち、管理策である具体的なセキュリティ対策が記されているのは5 章の「5 セキュリティ基本方針」以降である。図2.5 に全体の構成と、内容の抜粋として6 章の

「6 情報セキュリティのための組織」のなかの「6.1 内部組織」を示す。これでわかる ように、管理策の内容自体はその個々の組織自身が判断して決定する。また、管理策は さほど具体的ではない。レビューの方法や内容等についての具体的な記述や規定はない。

27001、27002 のこれらの特徴は、これらの規格がいわゆるマネジメント規格である

ことによる。マネジメント規格は、組織全体をどうマネジメントしていくかの考え方を 規定し、個々の管理策の採用や推進は各自に任されている。

0.1 序文

0.2 ISMS の採用 0.2.1 概要

0.2.2 プロセスアプローチ

0.2.3 他のマネジメントシステムとの両立性

1 適用範囲 1.1 一般 1.2 適用 2 引用規格 3 用語及び定義

4 情報セキュリティマネジメントシステム 4.1 一般要求事項

4.2 ISMS の確立及び運営管理 4.2.1 ISMS の確立

4.2.2 ISMS の導入及び運用 4.2.3 ISMS の監視及びレビュー 4.2.4 ISMS の維持及び改善 4.3 文書化に関する要求事項

4.3.1 一般 4.3.2 文書管理 4.3.3 記録の管理

5 経営陣の責任

5.1 経営陣のコミットメント 5.2 経営資源の運用管理 5.2.1 経営資源の提供

5.2.2 教育・訓練，意識向上及び力量

6 ISMS 内部監査

7 ISMS のマネジメントレビュー 7.1 一般

7.2 レビューへのインプット 7.3 レビューからのアウトプット 8 ISMS の改善

8.1 継続的改善 8.2 是正処置 8.3 予防処置

図2.5 27002の構成と内容（抜粋）

27001、27002は、その重要性から日本国内の規格にもなった。2000年に17799がJIS

X 5080として国内規格となり、さらに、ISOの規格番号の変更にあわせ、2006年に JIS

Q 27001:2006、JIS Q 27002:2006として制定された。

2.1.2. 日本日本日本の日本ののの動動動動きききき

これらの国際的な流れの中で、日本国内において、2000 年の春、政府官公庁や関連 機関のWebサーバに対し、大規模な侵入やページ書き換え事件が発生し、これらを背景 として本格的なセキュリティ対策が進められることになった。

（１）e-Japan戦略

2001 年 1 月、インターネットなどの高度情報通信ネットワークを活用することによ って、日本のあらゆる分野で創造的で活力のある発展を推し進めることを目的として、

政府は高度情報通信ネットワーク社会形成基本法を施行した。そして、すべての国民が 高度情報通信ネットワークを利用して、個々人の持つ能力を創造的かつ最大限に発揮す ることのできる社会をめざすことを宣言し、同じく2001年1月、e-Japan戦略を打ち出 した。

このe-Japan戦略のなかで、政府は5年以内にわが国が世界最先端のIT国家となるこ

とを目標として掲げた。そして、わが国のインターネット利用の遅れの主要因を、地域 1 適用範囲

2 用語及び定義 3 規格の構成

4 リスクアセスメント及びリスク対応 5 セキュリティ基本方針

6 情報セキュリティのための組織 7 資産の管理

8 人的資源のセキュリティ 9 物理的及び環境的セキュリティ 10 通信及び運用管理

11 アクセス制御

12 情報システムの取得，開発及び保守 13 情報セキュリティインシデントの管理 14 事業継続管理

15 順守

6 情報セキュリティのための組織 6.1 内部組織

目的：組織内の情報セキュリティを管理するため。

組織内において情報セキュリティを導入し，その実 施状態を統制するための管理上の枠組みを確立 することが望ましい。

経営陣は，情報セキュリティ基本方針を承認し，セ キュリティに対する役割を割り当て，組織全体にわ たるセキュリティの実施を調整し，レビューすること が望ましい。

必要ならば，専門的な情報セキュリティの助言の 出所を明らかにし，組織内で利用できるようにする ことが望ましい。業界の動向に遅れないようにし，

規格及び評価方法に目を配り，情報セキュリティイ ンシデントに対処するときの適切な連絡窓口を確 保するために，関係当局を含む，外部のセキュリ ティ専門家又はその一団との連絡網を築くことが 望ましい。情報セキュリティに対して多角的に取り 組むことが望ましい。

6.1.1 情報セキュリティに対する経営陣の責任

～

通信市場の独占による高い通信料金、公正・活発な競争を妨げる規制の存在などの制度 的な問題にあるとして、インフラ整備や各種規制の大幅な見直し、電子商取引に適した 法の整備、行政の電子化、人材の育成などの推進策を打ち出した。

e-Japan 戦略は、IT 戦略全般について述べたものであるが、セキュリティはその重要

な要素の一つとして位置付けられている。2001年3月に発表されたe-Japan重点計画で は、「高度情報通信ネットワークの安全性及び信頼性の確保」として、暗号化技術の標準 化やセキュリティに関する法制度の整備、重要インフラに対するサイバーテロ対策の推 進、人材の育成などのセキュリティ対策をうたっている。

e-Japan戦略はその後も見直しと改善が図られ、2003年7月にはe-Japan戦略Ⅱが、2004

年2月にはe-Japan戦略Ⅱ加速化パッケージが、6月にはe-Japan重点計画－2004が発表

され、推進されている。

図2.6にe-Japan戦略Ⅱの内容の一部を紹介する。

５５．５５．．．高度情報通信高度情報通信高度情報通信ネットワーク高度情報通信ネットワークネットワークネットワークのののの安全性及安全性及び安全性及安全性及びび信頼性び信頼性信頼性信頼性のののの確保確保確保確保

(1) (1) (1) 政府(1) 政府政府政府のののの情報情報セキュリティ情報情報セキュリティセキュリティ確保セキュリティ確保確保確保

(2) (2) (2) 重要(2) 重要重要重要インフラインフラインフラインフラののサイバーテロののサイバーテロサイバーテロサイバーテロ対策対策対策対策

(3) (3) (3) 民間部門(3) 民間部門民間部門民間部門におけるにおけるにおける情報における情報情報情報セキュリティセキュリティ対策及セキュリティセキュリティ対策及対策及び対策及びびび普及啓発普及啓発普及啓発普及啓発

(4) (4) (4) (4) 情報情報情報情報セキュリティセキュリティにセキュリティセキュリティににに係係係係るる制度るる制度制度制度・・・・基盤基盤の基盤基盤のの整備の整備整備 整備

(5) (5) (5) (5) 情報情報情報情報セキュリティセキュリティセキュリティセキュリティにに係にに係係係るるるる研究開発研究開発研究開発研究開発

(6) (6) (6) (6) 情報情報情報情報セキュリティセキュリティセキュリティセキュリティにに係にに係係係るるるる人材育成人材育成人材育成人材育成

(7) (7) (7) (7) 情報情報情報情報セキュリティセキュリティセキュリティセキュリティにに係にに係係係るるるる国際連携国際連携国際連携国際連携

(8) (8) (8) (8) 個人情報個人情報個人情報個人情報ののの保護の保護保護 保護

図2.6 e-Japan戦略Ⅱの内容（抜粋）

（２）セキュリティポリシー

2001年1月、「情報セキュリティ関係省庁局長等会議」において「ハッカー対策など の基盤整備に係る行動計画」が決定された。このなかで、政府部内における取り組みや 民間に対する普及啓発、技術開発の促進、法制度の整備と捜査体制の充実、国際的連携 などが述べられている。

セキュリティポリシーについても述べられており、2000年12月までに各官公庁がセ キュリティポリシーを策定するためのガイドラインを作成し、各省庁はそれを参考とし て2004年度中にセキュリティポリシーを策定するという計画が立てられた。しかしこの 年の春、政府官公庁や関連機関のWebサーバに対する大規模な侵入やページ書き換え事 件が発生したため、急きょこれらの方策の実施を前倒しして実行することになった。

この結果、2000 年 7 月に内閣安全保障・危機管理室情報セキュリティ対策推進室か

ら「情報セキュリティポリシーに関するガイドライン」が発行され、各省庁はその年の 12月までにセキュリティポリシーを策定することが指示された。これは当初の予定を大 幅に繰り上げたもので、各省庁の組織の大きさと複雑さからすると、相当に厳しい指示 であった。しかし、組織のセキュリティマネジメント体制の整備はセキュリティポリシ ーの作成を通してなされるため、それを承知で指示された。

本ガイドラインは、セキュリティマネジメントの考え方や、セキュリティ文書を「基 本方針」「対策基準」「実施手順」の三階層に分ける考え方、セキュリティポリシーの策 定方法、リスク分析の方法などが記されている。図 2.7に本ガイドラインに記されてい るセキュリティポリシー文書の構成を示す。

図2.7 セキュリティポリシー文書の構成 （ガイドラインより抜粋）

本ガイドラインは、対象を情報システムに電磁的に記録される情報に限定しているな ど、年を経た現在では再検討を要する部分もいくつかあるが、当時の切迫した状況と各 省庁の作成期限を考えれば、対象をある程度限定したり割り切った内容としたりしたこ とは現実的で適切な措置であったといえるであろう。

本ガイドラインを参考にして多くの省庁でセキュリティポリシーが作成された。たと えば総務省が地方自治体向けに作成したセキュリティポリシーガイドライン[総務省 03a]もこの流れをくんでおり、もととなった本ガイドラインが適切な内容だったことが わかる。

本ガイドラインは各省庁においてセキュリティポリシーを策定することを想定して

いるが、その内容は民間企業やその他の団体においても適用できるようなものとなって いる。そのため、民間企業でも本ガイドラインを参考にしてセキュリティポリシーを作 成した例がある。

（３）ISMS適合性評価制度

2001 年、組織の情報セキュリティマネジメントの確立を公的な第三者が評価し認証 するISMS適合性評価制度がスタートした。ISMSとは、Information Security Management

Systemの略で、組織の情報セキュリティマネジメントの状況を審査し、正しくそれを運

用している組織を認証する制度である。セキュリティを機密性（Confidentiality）、完全

性（Integrity）、可用性（Availability）の 3 つの要素に分けて考えた上で、品質や環境の

ISOであるISO 9000シリーズやISO 14000シリーズの認定制度と同様、PDCAマネジメ

ントサイクルの実施を重視している。

本認証制度は、経済産業省の監督のもと、一般財団法人日本情報経済社会推進協会

（JIPDEC）（2011年4月1日付けで、財団法人日本情報処理開発協会から名称変更）が

推進している。認証の仕組みとしては、先行して同様の認証制度をスタートさせている

英国のBS7799審査制度を参考としてはじめられた。

認証の対象となるセキュリティ管理策は、国際規格ISO/IEC 27001の国内規格である

JIS Q 27001に基づいている。このため、英国をはじめ同様の認証制度を運用している世

界の国々からは、日本のISMS適合性評価制度は世界各国の同じく27001に基づく認証 制度と同等のものであるとの評価を受けている。

2001 年は、対象となる組織を限定したパイロット審査として制度を開始したため、

認証を受けた事業者数は37であったが、2011年夏現在、その数は3,800組織を上回って いる。これは、先行して認証制度をスタートさせた英国を大きく上回っており、現在、

世界で最も先行しているセキュリティマネジメントの認証制度との評価を得ている。こ のため、その普及度合いから見れば、日本は情報セキュリティマネジメントの評価にお いて最も進んでいる国であると言える。

近年は、後に述べる個人情報保護法の施行に伴い、情報セキュリティ対策を組織全体 で進めるところも多く、本制度に対する注目はさらに高まっている。

図2.8に、本制度が紹介している組織のISMS確立の流れを示す。

図2.8 組織のISMS確立の流れ （JIPDEC資料より引用）

（４）経済産業省セキュリティ監査制度

経済産業省の諮問研究会である情報セキュリティ監査研究会からの報告をもとに、

2004年に情報セキュリティ監査制度が制定された。監査制度といっても具体的な監査の 仕組みが制定されているわけではなく、広い意味でのいわゆる情報セキュリティ監査を 広めることを目的として、その推進を目指したものである。情報セキュリティ監査を行 う企業や団体を登録する情報セキュリティ監査台帳や、情報セキュリティ監査を行うた めの監査基準、管理基準、ガイドラインなどを整備し、公開している。

情報セキュリティ監査制度では、助言型監査と保証型監査という2つの監査の考え方 を示している。また、監査対象のセキュリティ状況やセキュリティレベルによって、そ の範囲や内容を変える自由度を持っており、業種ごと、業態ごとに最適な形での監査が 様々なバリエーションで行われることを目指している。

情報セキュリティ監査制度はその基礎として、ISMS 適合性評価制度と同じく JIS Q

27001をもとにしている。このため、情報セキュリティ監査制度は、ISMS適合性評価制

度を含む幅広い情報セキュリティ監査を含めたものになっている。

情報セキュリティ監査制度は、経済産業省の支援のもとに特定非営利活動法人（NPO） 日本セキュリティ監査協会（JASA）が推進している。

（５）分野ごとのセキュリティマネジメントの動き

セキュリティマネジメントの具体的な内容は、業務形態や扱うデータの質、組織の特

徴によって変わってくる。したがって、各企業や団体が個別に自己の組織だけでセキュ リティマネジメントを考えるのではなく、業種・業態ごとに、業界団体などがその分野 における共通的なセキュリティマネジメントのあり方を考えるのが効率的かつ効果的で ある。いくつかの分野では、業種・業態ごとのセキュリティマネジメントに関する基準 や各種のガイドラインが作られている。

たとえば古くから IT 化およびそのセキュリティ対策が進んでいる金融業界では、公 益財団法人金融情報システムセンター（FISC）がコンピュータシステムの安全対策基 準・解説書やセキュリティポリシー策定の手引書などを策定している。

地方公共団体の分野でもセキュリティマネジメントの動きが進められている。2004 年5月、財団法人地方自治情報センター（LASDEC）と特定非営利活動法人（NPO）ネ ットワークリスクマネジメント協会（NRA）が事務局となり、地方公共団体や関連団体、

民間企業、有識者などのメンバーからなる地方公共団体セキュリティ対策支援フォーラ ム（LSフォーラム）が設立された。本フォーラムは、セキュリティ監査部会、セキュリ ティポリシー部会、ISAC 部会、コンプライアンス部会などの部会からなり、そのなか で、今後の地方公共団体における情報セキュリティ監査のあり方、個人情報保護ガイド の策定などを行った。

クレジットカード業界は利用者の与信情報を取り扱う。このため、個人情報の保護に は特段の配慮が求められる。経済産業省は「経済産業分野のうち信用分野における個人 情報保護ガイドライン」を定め、セキュリティを確保しようとしている。民間において は、セキュリティ基準PCI DSS（Payment Card Industry Data Security Standard）が国際的 に広く用いられている。PCI DSSは、VISA、MasterCard、AMEX、DISCOVER、JCBの 5 社の共同運営による PCI セキュリティ基準推進協議団体、PCI SSC（Payment Card Industry Security Standards Council）が策定し、日本ではPCI SSC PO Japan連絡会が推進 のとりまとめを行っている。PCI DSS は具体的なセキュリティ対策を 6 つの目的の 12 の用件にまとめた基準である[PCISSC 10][日本情報処理開発協会 09]。図2.9に12の 用件を記す。

防衛省（当時は防衛庁）では、国防が国家にとって非常に重要な活動であることに配 慮した上で、2003年10月に「調達における情報セキュリティ基本方針」を発表した。

そしてそれに基づき、2004年4月から「情報システムの調達に係る情報セキュリティ制 度」の運用を開始した。この制度は、防衛省が情報システムを発注する際に、受注企業 に対して情報セキュリティマネジメントの実施を求めるとともに防衛省による監査を行 う内容となっている。本制度はJIS Q 27001や経済産業省の情報セキュリティ監査制度を 参考としており、JIPDECのISMS適合性評価制度との親和性も考慮している。