IT環境が大きく変わるなか、セキュリティ対策がIT環境の変化から取り残されているのは、企業のセキュリティ対策がISMSを中心として進められてきたことに一因がある。ISMSはマネジメントを対象とするもので、セキュリティ対策そのものを対象としているわけではない。本稿では、ISMSを補完し、IT環境の変化への対応と、攻撃者の視点を持った実践的なセキュリティ対策について考察する。
日本におけるセキュリティ対策は、「ISO/IEC 27001(JIS Q 27001:情報セキュリティマネジメントシステム - 要求事項)」「27002(JIS Q 27002):情報セキュリティ管理策の実践のための規範」に代表される ISMS(Information Security Management System)を中心として進展してきたと考えてよいだろう。ISMSはセキュリティマネジメントのベストプラクティスであり、ISMSが重要であることはいうまでもない。しかし、当然ながらISMSを構築すればセキュリティ対策が万全になるというわけではない。
一般的な製品の開発と製造に置き換えれば、ISMSはその体制を対象とするもので、製品そのものを対象としていない。開発や製造の体制の定義と検証を行うが、製品の品質や性能は対象ではない。ISMSを中心として発展してきた日本のセキュリティ対策は、この点に誤解と矛盾を抱えている。実際のIT環境とはかけ離れた要求事項がチェックリストに蓄積されるのも、この点に一因がある。
セキュリティ対策において、製品そのものにあたるのは、自社が攻撃を受けることを想定した、攻撃者視点で検証されたセキュリティ対策といってよいだろう。「攻撃者視点で検証されたセキュリティ対策」を進めるためには、体制面に加えて以下の領域を考える必要がある。
セキュリティ対策の階層と、ISMSなどの標準や手法をマップしたものが、図1である。