さて、今回のセッション発表者は、日本HP社の永沼美保氏である。氏は、日ごろからセキュリティポリシー策定に従事しており、WGでも活発に意見交換をされていた方である。 　セッション内容の大筋としては、昨年度のWGの活動状況として、「WGの活動目的」、「活動内容」、「作業ステップ」、「成果物」、｢今後の活動｣を順に紹介して頂いた。

≪WGの活動目的≫
　まずは、このセキュリティポリシーWGの活動目的についての紹介をして頂いた。氏の紹介によれば、"日本の風土にあったセキュリティポリシーの姿を示す"ということがWG の活動目的であるという。 　もちろん、現状では、日本においてセキュリティポリシー策定者数も少ないため、目標の一つに"参加者の勉強の場を提供し、参加者の意識の向上を図る"という面もあったようだ。 こうした活動目的の背景には、日本の現状におけるセキュリティ対策の問題点があるからであろう。昨今のセキュリティ対策の傾向として、技術的な対策と人的な対策との融合を図っていくことが重要であると認識されつつある。そして、この融合を実施するためには、セキュリティポリシーを策定し、組織のセキュリティをどのように管理していくかの必要性が盛んに説かれている。しかしながら、セキュリティポリシーは、まだまだ、一般的にどの組織においても存在しているものではない。こうした、セキュリティポリシーの浸透を阻害している理由としてはいくつも挙げることが出来るが、理由の中の大きな比重を占めるものとして、日本の風土に合ったセキュリティポリシーのあるべき姿がどのようなものであるかが把握しきれていない、ということが言えるであろう。このような背景があるからこそ、セキュリティポリシーのサンプルをWGで策定する意義は大きく、また期待も大きいものであると思われる。

≪活動内容≫
　次にお話頂いたのは、WGの昨年度の活動内容の概要についてであった。WGの活動内容としては、3本柱があり、それらについて紹介して頂いた。 まず、一本目の柱として、"既存のセキュリティポリシー関連規格の調査"を行ったというものであった。主な調査規格としては、ISO/IEC17799（BS7799）、ISO/IEC TR 13335 （GMITS）、ISO/IEC15408、RFC2196（Site Security Handbook）、RFC2504（User's Site Security Handbook）である。調査内容としては、各規格の特徴を調査し、WGで策定するセキュリティポリシーのあるべき姿を模索したとのことである。

　次の柱としては、"特定の範囲に焦点を絞った、システム別のセキュリティポリシーを策定し、公表すること"が挙げられた。 この柱が昨年度のWGの大きな柱であろう。そして、今回の活動報告でもこの部分が主に述べられた点であった。今回のサンプルでは、調査結果を踏まえて"「外部ネットワーク接続」に特化したセキュリティポリシー策定"を行うことに方針が固まったとのことである。

　最後の柱としては、"セキュリティポリシー運用上の問題提起と解決策方法について"であったが、この作業に関しては、2000年度は、時間が足りなく、活動としては十分なことが出来なかったということであった。

≪作業ステップ≫

　次に作業ステップについて述べて頂いた。 調査作業は、昨年5月から約半年の期間で実施した。その結果、今回のセキュリティポリシーの範囲を「外部ネットワーク接続」に焦点を絞ることにしたとは上述した。なぜ「外部ネットワーク接続」に特化したか、という疑問に対しては、企業にとって、最低限セキュリティレベルが維持されなければならないものであり、かつ、多くの組織に汎用的に適用できるのが、"外部ネットワークに関する部分である"という回答であった。また、時間的に限られた範囲内で成果をだそうと考えた場合、組織全体を範囲にしたものでは、結局あいまいな記述の文書になってしまう可能性があるということも述べていた。このような議論のもと、セキュリティポリシーを作成していく上での参考規格として、BS7799を使用して叩き台を策定していくことになったということだ。（現在では、ISO/IEC17799が適当かもしれないが、これらの調査・作業段階ではBS7799主に使用していた。そのため、ここでは、あえてBS7799の表現を使っている。なお、WGでは、別途ISO17799の調査も行っている。）

　この規格に関しては、多くを語らずとも、既に多くの皆さんがご存知の規格である。セキュリティポリシー＝BS7799と思われているほどの知名度がある。よって、WGとしても、BS7799ベースのセキュリティポリシーを策定することにし、作業を進めることとしたのだろう。

　次に、サンプルの策定作業であるが、この作業には今年になってから一気に仕上げたそうである。サンプル策定ではBS7799の問題点の発覚から、軌道修正までの流れを述べていた。おおよその流れとしては、以下のようなものだ。

　今年に入り、実際に叩き台ポリシーの作成に取り掛かかったが、策定し始めてみると、BS7799の項目立ておよび記述内容を使用してのサンプル策定では、"いくつかの重要な問題"が露呈したという。 一般的にBS7799には、その知名度とは裏腹に賛否両論が語られている。そのような意見が出ているのはWGとしても把握していたそうであるが、それらの意見を検証する意味からもBS7799を参考に策定作業を進めたということだ。

　BS7799の問題点として、まず、"階層化された文書になっていない"という問題があるという。セキュリティポリシー文書の階層化の目的は、次のような理由による。セキュリティポリシーが扱うセキュリティ事象は、日々変化するものである。そのため、文書を階層化しセキュリティポリシー文書の自由度を高め、柔軟にセキュリティ事象に対応できるようにする。このようにセキュリティポリシー文書の特徴に"文書の階層化"があるのだが、"BS7799にはそうした点が考慮されていない"という指摘である。

　また、BS7799の項目立てには、"一貫した章立て・項目立てがなされていない"という問題もあるという。 BS7799の章立て・項目立ては、"付け焼刃的な章立て・項目立てがなされているように感じられた"という。このような問題のあるBS7799を参考にサンプルを策定してみた結果、"問題点をきれいな形で解決できなかった"という話であった。そのため、叩き台として策定されたセキュリティポリシーは、どのような用途の文書であるか、についてもあいまいな形になってしまったという。この問題に対して、WG内で度重なる意見交換を行い、軌道修正を行ったそうだ。そのときのポイントとしては、当初の目標である「外部ネットワーク接続」を、"より具体的な項目立てで、分かりやすい文書にすること"であった。このような議論を踏まえ、合宿等を経て今回の活動の主目的であるセキュリティポリシーの策定作業を行うことができ、公開できる文書にすることもできたという内容であった。

≪成果物≫
　今回の成果として公開されるセキュリティポリシーは、上述したように策定が進められた。そうして策定された文書は以下のようなものである。 　まず、文書構成であるが、これは、"ポリシー・スタンダード・プロシージャというオーソドックスな構成になった"という。そして、ポリシー文書としては"公開用"と"社内用"というように２種類の文書を策定している。この構成に関しては、スライド内でも表現されているのでそちらでも確認して頂きたい。スライド内では、その他にもセキュリティポリシーの適用範囲などを示す図が示されている。

　各階層の文書について紹介して頂いた内容は、以下のようなものだ。 　ポリシー文書では、組織の情報セキュリティに対する考えを明確にし、維持・管理する為の制度を確立させるような項目立てを考えて策定しているという。また、実際の情報セキュリティ対策に関しても"PDSCを意識し、ポリシー文書内で触れられるように考慮しているという。 これにより、下層の文書との関係を保つことになり、階層化されている意味も出てくる。 　スタンダード文書に関しては、今回のサンプルが、"外部ネットワーク接続"に特化していることから、それに適切な項目が洗い出された。この項目立てに関しても、網羅性のある分かりやすいものになるように注意が払われたとのことであった。セキュリティポリシー策定において"分かりやすさ"は特に重要な要素である。というのも、この要素によって、そのセキュリティポリシーが組織に浸透するかしないかの分岐点になると思われるからだ。この点においてもWGでは、しっかりとした話し合いのもとで方向性を決めているという。

≪今後の活動≫
　昨年度の策定作業では、ポリシー文書とスタンダード文書の策定で終了している。今後の課題としては、今回策定したセキュリティポリシーのブラッシュアップはもちろんの事、プロシージャ文書も策定していくという。 プロシージャ文書を策定することで、外部ネットワーク接続のセキュリティポリシーとしては、ひとつの完成された文書が出来あがることになる。今後のWGの作業・成果には期待したいところだ。

さて、セッションの内容を簡単にレポートさせて頂いた。セッション時のスライドも掲載されているので、そちらも合わせて参照して頂きたい。レポートの中でも記述しているとおり、日本においてはセキュリティポリシーの浸透状況が芳しくない。このようなWG の活動の成果が、日本の現状を打開する突破口となることを祈念して止まない。

株式会社ラック　不正アクセス対策事業本部
足利　俊樹