BIPROGY Foresight in sight BIPROGY Foresight in sight

エンタープライズ・セキュリティ

技報サイト内検索

エンタープライズ・セキュリティ

エンタープライズ・セキュリティ・アーキテクチャ

遠藤英幸

一般的に情報セキュリティ活動を継続的に統制することの困難さは、主に情報セキュリティが持つ「多様性と変化」、「運用の負荷(業務効率の低下)」、「投資効果の不透明さ」という三つの特性に起因している。企業が情報セキュリティガバナンスを継続的に維持(すなわちエンタープライズ・セキュリティを確立)するためには、情報セキュリティ活動の全体統制を図るための戦略的な枠組み(エンタープライズ・セキュリティ・アーキテクチャ)の構築が不可欠である。本稿では、エンタープライズ・セキュリティ・アーキテクチャを、四つのレイヤで構成し、さらに個々のレイヤに含まれる構成要素を整理する。また、エンタープライズ・セキュリティを効果的に維持するためのポイントを述べ、今後のエンタープライズ・セキュリティの在り方を論ずる。

ダウンロード【PDF】(639.4 KB)別ウィンドウで開く

日本ユニシスグループ情報セキュリティ総合戦略の取り組み

三口充高

日本ユニシスグループの情報セキュリティへの取り組みは、1990年に日本ユニシスの情報セキュリティポリシーを制定したことから始まる。その後、2004年に総合的で広範囲な視野のもと中長期的な情報セキュリティ強化を図るため「日本ユニシスグループ情報セキュリティ総合戦略」を策定し3カ年計画で推進してきた。しかしながら、その後めまぐるしく変化する情報セキュリティの環境や新たな脅威の出現への対応が強く求められる一方、日本ユニシスグループの事業変革に伴う情報セキュリティ施策の見直しも必要となり、2006年には「第二次情報セキュリティ総合戦略」を新たに策定し、2カ年計画で推進してきた。第一次戦略においては、情報セキュリティポリシーや各種ガイドの再整備、そして日本ユニシスグループの情報資産を守るため、また被害に遭わないための各種施策を実施してきた。続く第二次戦略では、事故前提を強く打ち出し、「従業員をセキュリティ事故から守る」、「顧客の情報資産を守る」ことを新たな戦略と位置付け、事故への対応手順の整備や証跡を収集・分析するデジタルフォレンジックなどの対応を行うと共に、情報セキュリティマネジメントシステムの成熟度 向上を目指してきた。 本稿では、2004年から着手した日本ユニシスグループ情報セキュリティ総合戦略の第一次、第二次戦略の実践を通して、企業としての情報セキュリティへの取り組みのあり方と留意すべきことを取りまとめると共に、日本ユニシスグループにおける情報セキュリティへの新たな取り組みを「情報セキュリティ総合戦略2008」として紹介するものである。

ダウンロード【PDF】(2.3 MB)別ウィンドウで開く

日本ユニシスグループにおけるBCP(事業継続計画)の紹介

麻績久仁子,多田 哲

日本ユニシスグループでは、社会インフラであるコンピュータシステムと関連するITサービスの提供企業としてBCP(事業継続計画)を策定し実践することが必要と判断し、2006年、社内にBCPプロジェクトを設置した。リスクとして首都圏直下型大震災、本社ビル大火災、社内情報システム長期停止を想定、リスク分析、ビジネス影響度分析、業務優先度判断、対応策検討、文書化、訓練、対策の評価と見直しなどを行ってきた。2007年からは新型インフルエンザが世界的流行になる可能性も議論、企業活動に与える影響は甚大であるとの判断により、BCPの対象リスクに加えることとした。  本稿では企業におけるBCPの必要性と対象とすべきリスク、企業として守る必要がある対象を述べたうえで、BCPとしてカバーする必要があると判定した範囲と対策について記述した。さらに、2007年より検討を始めている新型インフルエンザについて解説、企業として想定できる対応策を述べた。  BCP自体に情報システムが関与する部分は全体の計画の中では限定的であるが、ここで想定する災害が情報システムに与える影響は甚大であり、今後の情報システム設計や機能以外の観点からの要件定義、情報セキュリティレベル向上の検討などにおいて想定しておくべき内容も含まれている。  大震災や新型インフルエンザは、実際に災害が発生してから対応策を実施するのは甚だしく困難であり、事前に災害を想定し準備しておくことが重要である。特に新型インフルエンザについては一企業の対策によって発生を防止することはできないが、社員への情報発信による意識啓発や教育を行うことで、発生時の正しい対応方法により罹患率と死亡率を抑え、発生後の企業業務再開においても大きな差を生むことになる。  企業としても新たな研究や国内外からの情報を継続して入手する努力を怠らないことが重要である。BCPについては組織変更や環境変化を踏まえ、リスクならびに復旧業務や対策優先度の評価を継続して行うことが重要であり、今後はBCPで検討した対策を定常的な活動とするBCM(事業継続管理)へと移行していくことが必要と考えている。

ダウンロード【PDF】(3.0 MB)別ウィンドウで開く

日本ユニシスにおける顧客情報システム開発のセキュリティ対策

山口 繁

社会では情報システムのセキュリティ事件および事故が後を絶たず、しかも年々増加する傾向にある。日本ユニシスの開発するシステムにおいてもセキュリティに関して十分な品質の維持を怠ると、セキュリティ事件および事故により金銭的、労力的損失を被るだけではなく、顧客に多大な迷惑をかけることになり、ITサービス企業として信用失墜の大問題につながる危険に晒されている。 日本ユニシスでは、顧客情報システム開発における管理標準「ISBP(Information Services Business Process)」を定め、開発業務に適用し、品質向上を目指している。 ところが、2001年に日本ユニシスが開発したWebアプリケーションにセキュリティの脆弱性があることを外部から指摘され、大きな衝撃を受けた。これを契機に開発システムのセキュリティ品質向上策として「システム開発セキュリティプロセス」を定め、開発業務に適用し、一層のシステム品質向上を目指している。 システム開発セキュリティプロセスでは、基盤システム、アプリケーションシステムに対する技術的セキュリティ対策および開発環境における人的、物理的、制度的情報セキュリティ対策を定めており、開発業務の立上げから終結までの全過程に適用している。また、開発システムの技術的セキュリティ対策の必要十分性と開発作業中の情報セキュリティの管理状況についてレビューの実施を規定し、開発業務のセキュリティ品質の維持、向上を図っている。

ダウンロード【PDF】(1.8 MB)別ウィンドウで開く

日本ユニシスグループにおける情報セキュリティ専門人材の育成

清野好紀,吉田恵美

企業において情報セキュリティを有効かつ継続的に機能させることは、企業価値を維持・向上させる意義がある。  この目標を達成するためには判断力と専門知識を備えた情報セキュリティ専門人材が必要である。  しかし企業における情報セキュリティという目標は、大規模であることと、技術要素が常に変化するという特徴を持っている。  従って専門人材のスキルを定義し、計画的に育成しなければならない。  日本ユニシスグループではシステムサービスを提供する企業として情報セキュリティ専門人材を計画的に育成している。  このための施策としてITスキル標準に準拠した情報セキュリティスペシャリストの人材類型の定義、スキル調査、必要な研修の提供、技術認定制度といった仕組みを組み合わせ推進している。

ダウンロード【PDF】(5.4 MB)別ウィンドウで開く

情報セキュリティポリシー運用における課題と対策

鈴木武俊,真田大志

企業の情報セキュリティ対策を継続的に推進していくために、多くの企業が情報セキュリティポリシーを策定し運用しているが、情報セキュリティ事件・事故は増加傾向である。昨今のセキュリティ事件・事故を分析した結果、情報セキュリティ事件・事故を発生させる要因の多くは、内部の人員によるミスや認識不足が原因であることが確認された。 つまり、策定した情報セキュリティポリシーの周知徹底と適切な運用がなされていないと考えられる。その理由には、情報セキュリティ組織・体制に関する曖昧な責任・権限の設定や情報資産の杜撰な管理、抽象的で分かりにくい情報セキュリティポリシー等が挙げられる。情報セキュリティ事件・事故を減らすためには、情報セキュリティポリシーを適切に運用しなければならない。それには、情報セキュリティに関する責任・権限の明確化と現場に負荷の掛からない資産管理、整合の取れた文書作成、必要性を理解させる研修等、常に情報セキュリティ意識を向上させる工夫を継続的に行うことが重要である。

ダウンロード【PDF】(637.5 KB)別ウィンドウで開く

重大な脅威に対するセキュリティ設計手法の考察

八津川直伸,石野貴子

企業が情報システムを設計するにあたり、非機能要件であるセキュリティ対策を組み込もうとする場合、システム開発の初期段階においては、システムやネットワーク等のソフトウェア構成および物理機器構成が未確定なため、セキュリティ要件が定まらず対策実施が後回しになりがちである。結果として、システム開発後半になって明らかになったセキュリティ要件への対応のために、基本設計のやり直し等の手戻りが発生することになる。このような事態を避けるため、重大な脅威に対する必要最小限のセキュリティ対策については、システム開発の初期段階において、可能な限り盛り込んでおくことが望ましい。 本稿では、インターネット等の不特定多数からの脅威にさらされる情報システムに必要な最小限のセキュリティ機能を見出すために、まず近年における重大なセキュリティ上の脅威とは何かを識別し、次にこれら脅威に対する技術的・運用的セキュリティ対策として、世の中に存在する主なフレームワークを参照しながらセキュリティ設計を行う手法について考察した。その結果、セキュリティ対策を確実に実装するために、システム開発の初期段階で考慮すべきポイントも明らかになった。

ダウンロード【PDF】(1.6 MB)別ウィンドウで開く

情報セキュリティ対策の効果測定

柏浦謙一

昨今の情報セキュリティ・インシデント(事件事故)を受け、個々の情報システムだけでなく、企業が保有する情報資産の保護を含め全般的な活動に対しても情報セキュリティ(エンタープライズ・セキュリティ)水準を向上させることが求められている。 政府としても国家全体の情報セキュリティ水準の底上げを目指し、様々な政策や戦略を提示することで、官民一体となった対応に乗り出しているが、新たな脅威の出現や社会情勢の変化、技術の進歩に対応すべく、企業の現場では様々な努力が払われている一方で、対策を実施することが目的化している実情が見て取れる。 また、どこまで対策を実施すれば十分なのかという迷いとあいまって、担当者は利便性への要求と高セキュリティ化の要求の狭間で悩んでいる。 こういった状況から脱却するためにも、現状の情報セキュリティ対策の効果を認識し、その妥当性の検証と改善のためのプロセスを確立することで、各組織で必要とされる情報セキュリティ対策を見極める必要がある。

ダウンロード【PDF】(914.5 KB)別ウィンドウで開く