[架け橋 by CIO Lounge]

2024年9月25日(水)CIO Lounge

リスト

[Focus] これからのセキュリティ戦略

　石川や　浜の真砂(まさご)は　尽くるとも　世に盗人(ぬすびと)の　種は尽くまじ

　──これは1594（文禄3）年に京都三条河原で「釜茹で」の刑に処せられた大泥棒、石川五右衛門の辞世とされる句です。それから430年、この句のどおり、盗人は形を変えこそすれ尽きることはありません。

　現在の大泥棒はランサムウェアなどサイバー犯罪でしょう。犯罪者側は高度に組織化され、進化し続けています。その結果、情報が闇の世界で売買され、法人・個人を問わず、常に危機にさらされています。特に情報セキュリティが脆弱な日本の中小企業は大きな脅威に直面しています。

技術情報管理認証制度（TICS）とは？

　このような状況に手を打つべく、2018年に政府は中小企業活性化戦略の一環として情報漏洩を防止するための措置を実施しているかどうかを認証する「技術情報管理認証制度（TICS：Technology Information Control System）」を施行しました。企業・組織の情報セキュリティ対策を、政府指定の認証機関が、定めた基準に基づいて審査・認証する制度です（図1）。

図1：技術情報管理認証制度（TICS）の概要（出典：経済産業省）
拡大画像表示

　私が代表理事を務める情報セキュリティ関西研究所（関西SEC）はTICSの認証機関として活動しており、これがすぐれた制度であると確信しています。しかし残念ながら、今も中小企業における認知度は高いとは言えません。そこで、ここではTICSについて解説します。

　政府がTICSを施行した狙いは、「認証を取得する活動を通じて、情報管理の重要性を知らしめ、新しい経営の確立、競争力の向上を図る」というものです。TICS認証取得活動の具体的内容は、第1に専門家派遣による企業の”健康”診断、第2に認証に値するかの内部監査、第3に「TICS認証審査」となっています（図1）。

図1：技術情報管理認証取得 支援概要（出典：情報セキュリティ関西研究所）
拡大画像表示

　最初の“健康”診断は、専門家が企業のセキュリティに関する“健康”を診断するものです。診断結果が怖い、面倒などの理由で健康診断を受けない人がいますが、受けたほうがよいのは言うまでもないでしょう。企業・組織となるとなおさらです。何かあると従業員の生活や取引先の活動に影響しますので、セキュリティに関する健康診断は積極的に受診すべきです。なお、TICSにおけるセキュリティに関する健康診断は公費負担なので、費用がかからないのもメリットです。

　実際の診断では300弱ある項目から当該企業に必要な項目を選択してチェックします。詳細は省きますが、下記のようなことがチェック対象です。

第1章　共通事項（情報の特定・識別・管理者の選任）
第2章　人的アクセスの制限（アクセス権の設定・管理）
第3章　保管容器に保管できる物理的アクセス（保管容器・保管容器に施錠保管）
第4章　製造装置の物理的アクセス制限（立入り制限区域のアクセス制限）
第5章　電子情報のアクセス制限（電子情報・記憶媒体へのアクセス制限）
第6章　事業者以外のものに渡す措置（外部委託先の適切な管理）
第7章　管理を強化するための措置（段階を分けた管理、敷地全体の防護）

　派遣された専門家は、まず2～3時間ほどかけて企業の経営者や部門責任者に口頭で質問し、さらに現場確認もします。現場を視察しながら、従業員にも質問し、経営者などの回答と矛盾や相違がないか確認するわけです。診断の結果は企業に報告します。どんな報告なのか、参考までに関西SECの報告書の例を図2に示します。

図2：専門家派遣事業によるレーダーチャート評価（出典：情報セキュリティ関西研究所）
拡大画像表示

　この診断結果を見れば、TICS認証取得レベルとの差が一目で分かります。差を埋める、つまり認証取得レベルに上げるためには、前掲した図1の「情報管理コンサル」の部分の取り組みが必要です。基本となるのは、①情報セキュリティ管理規定の構築、②情報資産管理台帳作成の2つです。情報セキュリティ管理規定は「情報管理の憲法」であり、企業とコンサルが討議し作成します。

　情報資産管理台帳の作成も基本ですが、実はこの台帳作成で挫折する企業は少なくありません。情報資産とは「企業にとって有意な情報」であり「外部流出すると企業に損害を与える情報」です。「損害の大きさによって機密区分を決定」していくことになりますが、何をどう区分するか、更新はどうすればよいかなどが問題になるからです。それをどう乗り越えるか、コンサル選びがカギになります。

●Next：必須のセキュリティ教育、「経営トップは受講免除」は御法度