ISMSを実現する仕組み

社長方針である「セキュリティなくしてビジネスなし」の基に「ハイリスク・インシデントのゼロ」を実現すべく、８項目の「セキュリティ目的・目標」を設定し、日本IBMグループ全体で、それらの達成度の「見える化」を実践しています。「見える化」の仕組みとして、達成度を評価するための目標値、及び改善アクションを決定するための指標を設定してITシステムの実装と運用管理の仕組みにより実現しています。具体的には、お預かりしているお客様情報や個人情報の管理状況、PCやポータブル記憶媒体の管理状況、ワーク・プレース・セキュリティの遵守状況、セキュリティ教育の受講等を数値化し、グループ全体の基準やルールの遵守状況を確認して改善活動を実施するトリガーとしています。

【2009年社長方針及びISMS基本方針を実現する ISMS】

【図の拡大】

日本IBMグループは、経営陣の方針（社長方針）から展開したセキュリティの目的・目標を達成するための最適な管理目的・管理策を選択するために、情報セキュリティスタッフ組織が中心となって、全社・全グループが参加するリスクアセスメントを実施します。リスクアセスメントは、年1回、定期的に実施するだけでなく、Do段階としてのセキュリティ対策の導入・運用、事件・事故対応等を実施し、Check段階の有効性測定等、Act段階の是正処置/予防処置等、全てのプロセスで、適宜実施します。

【セキュリティ目的・目標を基に リスクアセスメントにより管理目的・管理策を選択】

【図の拡大】

日本IBMグループは、リスクアセスメントに基づき、発見された全社・全部門のリスクを低減するために、情報セキュリティ規程に新しくリスク対応策を反映し、全従業者に遵守するべきルールや手順を示しています。例えば、全従業者が遵守するべきPCやポータブル記憶媒体のルールや手順としては、「ITCS300:コンピュータセキュリティ」の情報セキュリティ規程により示しています。

【全従業者が守るべきPCのセキュリティ要件】

具体的な管理要件事例

• ユーザーID/パスワードの共有禁止
• パスワード設定
  （始動/ハードディスク/キーボード・スクリーンロック）
• アンチウイルス・プログラムの導入
• セキュリティ・ファイヤーウォールの導入
• ローカルDBの暗号化
• ファイル共有の禁止
• 独自無線ＬＡＮの禁止
• 外部接続・リモートアクセスの制限
• P2Pファイル共有ソフトの禁止
• 適切なセキュリティ・パッチの適用
• 機密情報の保護 （ポータブル記憶媒体の暗号化 等）
• 法規の遵守
• 私的使用の禁止
• ノートブック型PCのケーブル・ロック
• セキュリティ事件報告の義務

日本IBMグループは、全社・全グループで達成するべき設定したセキュリティ目的・目標の「達成度の見える化」を実現するために、ITシステムと運用管理の仕組みを構築しています。
例えば、セキュリティ目的・目標の第５番目の「PCセキュリティ」を例にとって説明いたしますと、CISOの「PCセキュリティ」に関する方針をステートメントとして示した目的、目的を達成したかどうかを量的に把握するための測定項目、及び目的を達成したかどうかを評価するための目標値、目標値を達成するまでの過程で改善アクションを実施するための指標となる管理値、目的・目標を達成するために実装しなければならない管理目的・管理策を定義し、実行します。

【第５番目の目的・目標「PCセキュリティ」をISMSの有効性測定で実践したまとめ】

【図の拡大】

日本IBMグループでは、以上のような情報セキュリティ・マネジメントを効果的に、しかも効率的に実施するために、ITシステムの力を有効に利用しています。
例えば、PCセキュリティにおいて、適切な情報セキュリティ対策と運用管理を実践するケースがあります。

事例1. 全従業者のクライアントPCのセキュリティ強化
情報セキュリティ・マネジメントを確実に、しかも効率的に実施するために、ITインフラの重要性がますます高まっています。例えば、外部からの不正な侵入を許さないために、 IBMの全世界の全ての従業者のクライアントPCには、遵守すべきセキュリティ設定値になっているかどうかを自動的に点検するWorkstation Security Tool (WST)と呼ばれるIBMが開発したツールが導入されています。このWSTにより、全ての従業者が、PCを万一紛失しても、保管している情報が外部に流出しないように、日常的に設定値が点検されています。
各PCの点検された結果は、センターに収集され、計算・分析・評価されて、指標としての管理値により、目標値を達成されていると評価されたグリーンゾーンでなく、目標値を達成していないと評価されたイエローゾーンやレッドゾーンの測定値の場合は、改善アクションの指示が連絡され、CISOより経営陣への定期的な報告とともに、セキュリティ委員会を通じて、全部門、及び全グループ会社への改善の指示が出されます。緊急的なアクションとしては、不遵守が一定期間続くような従業者のPCに対しては、ネットワークへの接続を停止する場合もあります。
同時に、この状況は、毎月Webを通じて社内に公開されており、セキュリティ意識の向上を図っています。

【PCセキュリティの見える化の構築と運用】

• 測定（監視）
• 収集
• 計算
• 分析
• 評価
• 報告
• 改善アクションの指示
• 改善アクションの実施
• 実施しないとペナルティ

【図の拡大】

事例2. ポータブル記憶媒体のセキュリティ対策の強化
近年、USBメモリーや外付けハードディスク等のポータブル記憶媒体に関連した事件・事故が見られます。日本IBMグループは、ポータブル記憶媒体使用時に、強制的に暗号化するツールを開発し、業務用クライアントPCからポータブル記憶媒体に情報を書き出す場合には暗号化することを強制するしくみを導入しています。
日本IBMグループは、今後のセキュリティ対策をさらに強化するために、その一つとして、業務に使用する全てのクライアントPCのハードディスク全体を暗号化する対策を開始しました。さらに、委託先において使用するPCについても改善アクションをとることを計画しており、仕組みや手順を検討後、適用を開始する予定です。