日本情報セキュリティ認証機構は主要電機メーカー14社が出資して，2002年4月に日本環境認証機構の関連会社としてスタートした。2002年の8月にUKAS（ユーカス United Kingdom Accreditation Service)というイギリスの認定機関からBS(British Standard)べースの認証機関として資格を認定され，今年の1月にはJIPDECからも認定された。BSとJIPDECのISMSの制度はほぼ同じなので，1回の審査で両方の認証登録が可能になっている。
「情報技術に潜む危険」「印刷業における情報リスク」「情報の安全性とは」について解説したい。

情報の価値が高まっている

なぜ，今「情報セキュリティ」が問われるのだろうか。平成14年どの情報通信白書によると，インターネットの企業普及の状況は97.6％（従業員300人以上）である。コンピュータネットワークシステムが社会に入り込み，パソコンも1人1台での仕事の仕方が一般的になりつつある。イントラネットは組織単位でまとまり，例えば，文書管理はもう既に全部サーバに入れて，それをディスプレイで閲覧する。給与も最近では給料袋が出ない。キーボードを叩けば明細を含めて，退職金や年金についても情報が提供されている。

会社以外でもコンピュータネットワークシステム社会になっている。例えば，住基ネットワークなどもそうである。電子納税もまもなく始まる。また，先般銀行がシステムダウンで問題になったが，ある銀行がおかしくなると，とたんに振込みも引き出しもできなくなる。航空管制塔のプログラムがダウンして，飛行機が飛ばなくなるという時代になってきている。つまり，情報の性格が大きく変わったということだ。大量の情報が行き来し，簡単に情報は取り出せるが，それがおかしくなると，途端に生活に影響が出てくる。そういう意味での情報の価値，性格も変わってきたと捉えなければならない。
しかし，利便性が高まれば高まるほど一方でいろいろなリスク，危険が出てくる。

このようなリスクが増えていることについて世界の動きを見ると，個別システム系でおのおののIT製品や個別システムセキュリティを評価する制度がある。そのほか組織マネジメント系としてBSやJIPDECの評価制度がある。これは組織として何をなすべきか，どうあるべきかということを中心に組まれている。現時点では国別の規格で進んでいるが，いずれこれがISO化されれば一本化されるだろう。

情報技術に潜むリスクとは

それでは情報技術に潜むリスクには，どのようなものがあるのだろうか。
このセキュリティリスクは，情報資産の重要度あるいはその発生頻度とか脆弱性の程度で、これらを要素とする情報資産，企業経営への影響，被害を与える原因と期待している。従って，価値のないもの，全然起こらないもの，弱いところがないもの，それはセキュリティリスクではない。
しかし，これは100％大丈夫とは言えない。つまり，組織に対して脅威が与えられると組織的対策を行い，技術的対策もなされる。しかし，なお弱い部分が残ったらそれが情報資産に影響を及ぼしてビジネス被害が出る。情報セキュリティとは，このようなものの見方である。

具体的な脅威については下図のようなものがある。組織がもつ情報がどのように壊されるかといえば，例えば建物の破壊。これは災害によって壊されると，そこにストックされている情報がだめになることを想定している。

設備では，外部からコンピュータを壊したり，あるいはサーバを壊したりすることにより情報が壊される。あるいは人間の犯罪，システム障害によって情報が壊される。その結果いろいろと組織に不都合が出てくる。情報システム，情報技術に潜む危険はいろいろなところにある。
この危険を大きく，意図的(故意)，偶発的(故障・過失)，環境的(災害)と分ける。環境は前述の建物の話に相当する部分である。
重要なのは意図的(故意)，偶発的(故障・過失)な危険の2つである。意図的とは悪意で，その情報を利用して金銭を得ようと企むことである。偶発的は間違ってしまうということであり，それによってデータをなくしたりすることである。

印刷業の情報リスク

印刷業における情報リスクを考察してみる。私は印刷業に身を置いていないが，専門家に少し聞いて，想定されるリスクを上げる。
最近は製版工程がデジタル化している。そうすると原稿や写真が簡単に取り出せる。しかし，原稿や写真はほとんどの場合，印刷会社のものではなく，機密事項かどうかを判断するのも印刷会社ではない。それを判断するのは顧客側であり，そのようなところにリスクがある。

また，業務を外注に委託することで業者間のやり取りが多い。それがきちんと，コントロールができていれば良いが，それができていないと情報の漏えいなどにつながる。あるいはホームページ，CD-ROM制作など，紙に刷る以外の仕事が広がっているので，このようなリスクは増える。
刷版工程では，失敗物の廃棄はどう処理されているだろうか。これも，重要なのかどうかは顧客から指示されないと分からない。そういう意味の失敗物の廃棄，ゴミ処理などでもいろいろな危険にさらされている。

3つ目として，「製品(印刷物の)管理」がある。印刷物は出たらもうオープンである。従って，出るまでにいかに人の目に触れないようにして出すかが重要である。例えば，印刷物の抜き取りの管理。営業報告書などは株主総会で株主に渡される前に，どこかに出てしまったら大変な問題になる。
このほかに付帯サービスとして，最近はデータの管理，加工しての保管など請け負っているだろう。また，印刷物を顧客が指定する場所へ直接発送するような仕事もあるだろう。その場合にはデータ管理・名簿管理が問題になる。印刷会社の仕事の中にもいろいろなリスクがあるということだ。

情報セキュリティの仕組み作り

情報セキュリティは，CIAの3つがうまくキープできていれば，脅威から何とか情報資産が守れる。そのために，情報セキュリティの仕組みを作り，その仕組みに合わせて実際に動かして，自らチェックして問題があれば修正することにより，継続的に仕組みを良くしていくことが情報の安全を守るマネジメントなのである。
マネジメントとは，方針がありそれに合わせたいろいろな手順，その手順どおりきちんと仕事ができているかがポイントで，その意味でのPlan，Do，Check，Actionのマネジメントプロセスを，この規格は大変重要視している。

具体的にどうマネジメントするかについては，規格の付属書として出ている。
大きく分けて10の範囲に分かれる。それがさらに組織的・管理的対策と技術的対策の2つに分けられる。

組織的・管理的マネジメントの中身は全部で127の項目，管理策があるが，その127の管理策をすべて行う必要があるわけではない。その組織がチェックして，その組織にとってはやらなければいけないと決めたものだけを取り出して行えばよい。
これは6つに分けられ，基本方針である「セキュリティポリシー」に，アウトソーシングの場合の契約などを決める「セキュリティ組織」。情報資産の重要度をランク付けする「資産の分類管理」。教育やどのような人を採用をするか，情報セキュリティを守るためにどういう能力が必要なのかを決める「人的セキュリティ」。事故があった時などに復旧管理の対応・手順を決めるなどの「事業継続管理」。コンプライアンス(compliance)，法令順守などの外対するものと，自分たちで決めたことに対する内部監査などの「適合性」である。

技術的な4つの中身としては，入退室管理などの「物理的および環境的セキュリティ」，通信のやり取りなどの「通信・運用マネジメント」，アクセス制御などの「システム開発およびメンテナンス」の技術的な部分である。
それを整理すると下図のような情報セキュリティの脅威があって，それに対する情報セキュリティ技術となる。これは1対1で対応しているわけではない。1対全部，あるいは1対nでの対応であり，ある脅威に対して技術はこうなっているということである。

認証取得のために何が重要か

ではこれら情報脅威に対して，どうすればよいかだが，認証を取得することを勧めする。
印刷業は小規模の組織も多いようなので，小規模の事業所がどうやってうまく認証を取得するかを提案したい。
認証は1組織で取ってもよいのであるが，1組織では人が足りない，時間が取れないなどの問題があるだろう。

組織のマネジメントがこの規格のベースであり，組織のトップの関与，各部門の責任者の関与が重要である。マネジメントだから責任者のシステムにおける役割が大事になる。組織のトップは方針を決定し，管理責任者の任命，資源（人材，専門技能，技術，資金）を用意，経営層による見直し（MR）に関与する。
各部門の責任者は，マネジメントシステムを構築，実施，維持する。マネジメントシステムは業務そのもの，ノウハウの継承，従業員・職員の教育，人材育成に関与する。
これらをベースにして群審査を提案したい。つまり，いくつかの会社が集まって取ることを勧める。

メリットとしては違う会社が集まれば，いろいろ組織の知恵が出てくる，視野も広がる，連携強化もできる，お互いに助け合えて分担作業で負荷が少なくなる，費用も少し安くなるなどがある。

具体的に群審査を進めるには，例えば4社で取る場合，この4社の共通の部分がある。それは一緒になって行う。各社が別々に行わなければならない部分である各社の方針を決めること，内部監査を実施することは会社によって違うので，それは全体を見る場合と個別に見る場合と両方のコンビネーションで1つの認証を取得する。

具体的には，A社，B社，C社，D社の共通の仕組みを共通ドキュメント化する。マニュアルや規定，手順などは同じでも構わない。しかし，A社，B社で違う部分は各社固有の仕組みをドキュメント化する。グループでシステム構築から審査取得まで一貫することで，グループでコンサルを受けられる。グループで審査を受ける部分と個別に受ける部分とで，認証は個別に登録できる。A社，B社，C社と一緒には取るのだが個別の部分というのがあり，それをきちんと行って合格になると，A社，B社，C社，D社でそれぞれ登録ができる。これが群審査である。

株式会社　日本情報セキュリティ認証機構　代表取締役社長　岡田政紀
www.jaco-is.co.jp

関連記事：
印刷経営を揺るがすセキュリティの重要性
情報セキュリティマネジメントの重要性と日本の取り組み
ISMS構築事例と構築ポイント

（2003.6.23講演より収録　文責JAGAT　／　禁無断転載）

2003/09/03 00:00:00