日本版SOX法・徹底解析

調査概要

　CIO Magazine米国版と姉妹誌のCSO、ならびにプライスウォーターハウスクーパース（PwC）が共同で実施した「国際情報セキュリティ調査2008」は、2008年3月25日から同年5月19日にかけてオンライン上で実施された。調査対象は、全世界の読者、ならびにPwCのクライアント企業である。今回掲載した調査結果は、100を超える国や地域の7,097名に及ぶCEOやCIO、CSO（最高セキュリティ責任者）、ITおよびIS担当の副社長やディレクター、セキュリティやIT担当の専門技術者などから得た回答に基づいている。調査対象者の居住国内訳は、北米39％、欧州諸国27％、アジア諸国17％、南米諸国15％、中東および南アフリカ2％。本調査の許容誤差はプラスマイナス1％である。

http://www.ciojp.com/contents/?id=00005121;t=0

　人々の不安をいたずらにあおるつもりはないが、一言だけ言わせていただきたい。「目を覚ませ」と。企業の貴重な情報資産は、今なお多くの面で漏洩の危険にさらされている。事実、企業の情報漏洩事件には一向に歯止めがかかる様子がない。

　例えば、2008年8月には、安全対策の施されていないWi-Fi経由でディスカウント・アパレル・チェーン大手のTJXや他の小売企業のシステムに侵入したとして11人の容疑者が起訴された。また、ITサービス企業のEDSの従業員でメディケイド（低所得者を対象とする米国の医療扶助制度）の苦情処理係を担当していた女性が2008年2月、不特定多数の社会保障番号や生年月日情報を盗み、それを不正な納税申告に悪用しようと企む者に売りつけたという容疑を認めた。ほかにも、ユタ大学病院が雇った配達会社の従業員が、同病院のバックアップ用テープを遠隔地にある保管場所へ運ぶ際、会社のセキュリティ仕様車ではなく自家用車を使用し、座席に置いていた220万人もの患者の診療料金情報が記録されたテープを盗まれてしまうという事件も起こっている。

　今回の調査は、CIO Magazine米国版とその姉妹誌であるCSO、ならびにプライスウォーターハウスクーパース（PwC）の共同で実施され、世界各国の企業のCEOやCIO、CSO（最高セキュリティ責任者）ら7,097人から回答が寄せられた。6回目となる今回の調査結果からは、技術、プロセス、人事の整備にまつわる企業の現状や問題点が垣間見える。

　情報セキュリティ対策への投資効果は数値化するのが難しいとされており、経営陣に予算を認めさせるのも容易ではない。しかもこの不況下では、プロジェクト提案に向ける経営者の目は一段と厳しさを増している。それでもなお、今回の調査では、多くの回答者が、侵入検知や暗号化、アイデンティティ（ID）管理などのセキュリティ・ツールを導入していること、しかも、その投資金額は増加傾向にあることが判明した。

　だがその一方で、一貫性や強制力のあるセキュリティ・プロセスを整備していない組織がきわめて多いという深刻な状況も浮かび上がった。実際、「総合的な情報セキュリティ戦略を策定している」とした回答者の割合は過半数を超え59％に達したが、この数値は2007年の調査結果からわずか2ポイント上昇しただけにすぎない。また、PwCで投資顧問プリンシパルを務めるマーク・ロベル氏は、「セキュリティ・インシデントの発生数を抑えるには、チーフ・レベルのセキュリティ担当者を置くことと、セキュリティ戦略を強化していくことが求められる」と指摘しているが、そうした指摘に対しても、今回の調査では好ましい回答が得られなかった。

　例えば、「CISO（最高情報セキュリティ責任者）またはCSOを任命している」とした回答者の割合は、前年の調査結果より4％低い56％にとどまった。また、「ユーザーが社内のセキュリティ・ポリシーを順守しているかどうかを監視している」とした回答者の割合は43％であった。この数字は前回の調査結果から6％伸びているが、「求められている水準には達していない」と、ロベル氏は手厳しい。

　結論から言えば、“企業の情報セキュリティ対策は、いまだに受動的で、能動的ではない”ということである。情報セキュリティの先進企業を目指すならば、監視ツールから得たデータを分析し、セキュリティ侵害の発生を予測・防止できるようにならなければならない。もちろん、そのためには、社内にセキュリティ専門の部署を設置し、暗号化技術やアイデンティティ管理のエキスパート、ならびに統計学者やリスク・アナリストなどを配属して、会社がネット犯罪に巻き込まれないように留意する必要がある。

　今回の調査結果から、企業のセキュリティ対策には、相も変わらず問題が山積しているという実態が浮き彫りになったが、そうした問題を見ていくうちに、企業の情報資産の安全性を高める道が、まだ残されていることも分かった。テクノロジーの導入がその1つであることは言うまでもないが、とりわけ重要なのは、セキュリティの向上を促すプロセスを整備し、それを従業員の日常業務の中に組み込むことである。以下、調査結果の概要を紹介しながら、情報セキュリティを巡る現状の問題点と今後の解決策を探っていきたい。

意識と行動のギャップを埋める

　今回の調査で、情報セキュリティ予算の出所を尋ねたところ（複数回答）、回答者の57％がIT部門と答えた。また、マーケティング部門、人事部門、法務部門といった部署が資金を出しているとした回答者の割合も60％に上った。これに対し、セキュリティ専門の部署に予算が割り当てられているとした回答者の割合は、わずか24％であった。

　IT部門が大きな権限を持っていれば、セキュリティ・ツールを導入することによって多くの問題を解決することができるだろう。例えば、フィッシング攻撃はスパム・フィルタを使ってある程度回避することが可能だし、暗号化ツールで機密情報を保護していれば、ノートPCが盗難に遭ったとしても、とりあえずは安心できる。実際、今回の調査でも、「セキュリティ予算を自由に使用できる」とした回答者からは、当然のようにそうした対策をとっているとの声が寄せられた。

　一方、多くの企業が、古くなったコンピュータ・ハードウェアを適切な方法で廃棄することの必要性をはっきりと認識しており、データやアプリケーションの入っているハードディスクをフォーマットするなどの対策をとっていた。この傾向は年々強まっており、そのためのツールをすでに導入しているとした回答者の割合も増えつつある（前回の58％から65％に増加）。

　また、暗号化を実践している企業も増えている。実際、回答者の55％がデータベースを、50％がノートPCを、47％がバックアップ・テープを暗号化しており、そのほかのメディアの暗号化も浸透しつつあるようだ。さらに、侵入検知システム（IDS）を導入しているとした回答者の割合は、前回の59％から63％へと増加し、サーバやネットワーク以外に、個々のアプリケーションも保護できるファイアウォールを導入しているとした回答者の割合は67％で、こちらもやはり前回の62％を上回った。

　こうした結果だけを見れば、事態は良い方向に向かっているようにも思えるが、一方で、セキュリティ・プロセスや人的な問題に関しては、依然として混迷が続いている。なかには、どんなにIT予算をつぎ込んでも「安全」を買うことはできないと指摘する声もある。というのも、たとえ機密性の高いデータを暗号化するための技術を利用していたとしても、データの取り扱いについて規定したポリシーを従業員に無視されてしまえば元も子もないからである。

　情報資産の安全確保を目指すなら、テクノロジーを活用して問題を回避する前に、まずはプロセスや手順を整えて、セキュリティ対策の土台を固めることだ。ブランダイス大学のCISO（最高情報セキュリティ責任者）であるデニス・デブリン氏も、テクノロジーは包括的な情報安全化計画の一部にすぎないと断言する。

　企業の情報セキュリティ対策において、とりわけ重視されているのは、“違法行為を食い止める”ことである。例えば、ボットが入り込むすきを作らないようにWi-Fi接続を制限するといった具合にだ。「それでも悪意を持つ犯罪者たちが、数え切れないほどのセキュリティ・インシデントを引き起こしている」と、デブリン氏は指摘する。同氏は、2007年にブランダイス大学で現職に就任してからも、さらにその前に7年間ほどCSOを務めていたトムソン・コーポレーション（現トムソン・ロイターズ）においても、数多くのセキュリティ・インシデントが引き起こされるのを目の当たりにしてきたという。

　「従業員はしばしばフィッシング詐欺に引っかかったり、キーロガーやルートキットといった悪意のあるプログラムを誤ってインストールしてしまったりするものだ。セキュリティ管理者には、そうした従業員に“身を守るすべ”を教える義務がある」と力説するデブリン氏は、特定の件名が付けられた最新のフィッシング・メールに関して注意を喚起するのはもちろん、未知のURLをクリックしたり、添付書類を開封したり、社会保障番号をオンライン経由で他社に教えたりすることがいかに危険なことであるかを周知させなければならないと強調する。

　「すべてのセキュリティ・リスクに対処できるテクノロジーなど存在しないという、セキュリティ専門家と同じ思考方法を従業員に植え付けることこそが、我々の仕事だ」（デブリン氏）

　ブランダイス大学と同様の取り組みを実践している組織は、徐々に増えているようだ。「セキュリティ意識を高める教育を従業員に施している」と回答した企業の割合は、前回調査の42％から54％に上昇している。

　とはいえ、まだまだ多くの未解決の問題が残っている。「企業のプライバシー規定について従業員にトレーニングを受けさせている」とした回答者の割合は、前回の37％よりは増加したが、それでもまだ41％にすぎない。また、「社内向けのWebサイトに自社のプライバシー規定を掲載する」という単純な対策すら講じていない回答者が43％にも達しており、その割合は残念なことに、わずかではあるが前回を上回っていた。

　ほかにも、法規制や業界標準に準拠するための“うわべだけのセキュリティ知識”しか持ち合わせていない企業が多数を占めているという現状も、同調査から明らかになった。

法令順守だけでは不十分

　医療機関向けのHIPAA（医療保険の相互運用性と責任説明に関する法律）や、財務データを対象とした米国企業改革法（Sarbanes-Oxley Act：通称SOX法）、クレジットカード情報に関するPCI DSS（Payment Card Industry Data Security Standard）といった法規制があるかぎり、企業経営者は今後もそれに対する何らかの対策を講じ続けなければならない。罰金や懲役刑を科されるリスクを無視できる経営者など、そうはいないはずだ。例えば、「さまざまな法令や業界標準を、組織として順守できるかどうかを確認している」とした回答者の割合は、前回の40％から44％へ上昇している。また、回答者の43％がセキュリティ・ポリシーに対するユーザーのコンプライアンス状況を監視しているが、こちらも前回の37％から順調な伸びを見せた格好だ。また、「コンプライアンスを脅かす社内の要因を調査している」とした回答者の割合は55％となった（前回の調査では49％であった）。

　もっとも、現状を手放しで喜ぶわけにはいかない。状況が改善されつつあることは間違いないものの、“完璧”にはまだほど遠いのである。コンサルティング会社Wリスクグループの取締役社長、カレン・ウォーステル氏は、「多くの組織が法令で定められている事項のみに気を取られ、根本的な安全対策をおろそかにしている」と指摘する。同氏は、マイクロソフトの前CISOであり、AT&Tの前ITリスク管理担当CISO兼副社長でもあったセキュリティ専門家だ。

　法令や業界標準に準拠することで完璧なセキュリティ対策が実現できるわけではないというのがウォーステル氏の考えだ。事実、コンプライアンス監査に合格することだけが目的であるのなら、組織がポリシーさえ策定していれば、どのような方法でそれを順守していくかを証明しなくてもよい場合も多い。

　また、法令や標準自体に不備が存在することも考えられる。例えば、PCI DSSではクレジットカードの所有者情報を保護するためにファイアウォールの導入を義務づけているが、ウォーステル氏によれば、PCI DSSでは技術を導入した後に定期的な更新を行ったり、効率性をチェックしたりするプロセスを設けることまでは求められないという。そうしたことから同氏は、「PCI DSSに準拠しているだけではセキュリティ対策としては不十分だ」と警鐘を鳴らす。

　実際、PCI DSSを順守しているとのお墨付きをもらっていたにもかかわらず、2007年12月から2008年3月にかけて顧客のクレジットカードおよびデビットカード情報の盗難被害に遭った食料品販売チェーンのハナフォード・スーパーマーケットの例もある。「クレジットカード業界団体が規定している最高のセキュリティ標準に従っていたのに」というのが同社の言い分だ。

　また、自社の周りを見えない壁で覆い、その内側でのみセキュリティを監視している状態も、満足な対策とは言えない。だが、現状は、ほとんどがそのとおりの状況にある。今回の調査でも、他社に渡した自社のデータがどのように扱われているかまったく知らない、もしくは知る努力をしていない企業が多数存在することが判明した。心当たりのある企業は、今後トラブルに巻き込まれることを覚悟しておいたほうがよさそうだ。

セキュリティ予算を最大限活用するための4つのヒント

Read More...

業務委託の“落とし穴”

　今回の調査から浮かび上がった最も懸念すべき事柄の1つが、アウトソーシングである。「自社の情報を使用しているすべての外部企業を一覧化して保管している」とした回答者の割合は、たったの22％にすぎない。

　それがどうしたと思われる方は、次のデータをご覧いただきたい。顧客や従業員の個人情報を扱うサードパーティに対し、自社のプライバシー・ポリシーへの準拠を義務づけている企業も、わずか37％しかいないのだ。そうした情報を保全する方法をサードパーティが理解しているか、あるいはそもそも保全しているのかといったことを適切に把握している企業に至っては、さらに少なく28％しか存在しない。にもかかわらず、回答者の75％が、「サードパーティのセキュリティ対策は機能していると思う」と楽観的に考えているのである。

　企業秘密保護技術を専門とする調査会社セキュリティ・コンストラクトの取締役であるトム・バウアーズ氏は、「企業が多種多様なサードパーティに自社業務を委託する場合、社内情報を使用するサードパーティの行動に十分注意することが何よりも重要である」と力説する。

　こうした観点から見た場合、さまざまな業界の企業が手本にできるのは製薬会社であるとバウアーズ氏は指摘する。同氏は、セキュリティ・コンストラクトへ転職する前には、製薬会社のワイスで7年間にわたって国際情報セキュリティ部門の上級責任者を務めていた。その当時、同部門では、ビジネス・パートナーがワイスのセキュリティ対策を順守しているかどうかを細かいところまで厳しくチェックしていたという。

　栄養補給食品大手シャクリーでCIOを務めるケン・ハリス氏も、契約しているすべてのアウトソーシング会社に、自社と同じレベルの（もしくはそれ以上の）セキュリティ対策を実践させるべきだと主張する。「自社業務に適用するセキュリティやディザスタ・リカバリを入念に吟味するように、アウトソーシング・プロバイダーの仕事も監督すべきだ」（ハリス氏）

　しかしながら、パートナーのセキュリティ状況を確認するには、多大な時間と労力がかかるため、ほとんどの企業が確認することなく済ませていると、PwCのロベル氏は指摘する。同氏の見積もりによると、パートナーのセキュリティおよびプライバシー保護の実態を調査する場合、小さな企業でも最低1名の正社員が丸2日作業に取り組まなければならないという。しかも、「企業の規模が大きくなれば、パートナーの数は数千にも及ぶ」（同氏）のである。

「情報の保護」に注力する

　今回の調査では、セキュリティ責任者の38％が「この1年間で1～49件のセキュリティ・インシデントに遭遇した」と答え、35％が「セキュリティ・インシデントが起こったかどうか分からない」と回答した。これらの割合は前回の調査結果とほぼ同じだ。

　セキュリティ・インシデントを経験したとした回答者のうち、39％がサーバもしくはファイアウォールのログ、37％が侵入検知システムによって異常に気づいたという（複数回答）。一方、同僚からインシデントの発生を指摘されたという回答も36％あった。こうした調査結果を見れば、セキュリティ対策の一環として人が担う役割は、どんな最新技術にも引けを取らないほど大きいということが分かる。このほかにも、従業員に訓練を繰り返し受けさせることの重要性を示す証拠がたくさん得られた。

　コンチネンタル航空のCISOであるティム・スタンレー氏も、「従業員がデータを保護することに責任を持たせることが、最善のセキュリティ対策だ」と主張する。

　スタンレー氏は、社内で使用するファイルを、「情報の所有者」「ビジネス的価値」「リスク・レベル」の3つの要素に従って分類することを推奨している。例えば政府は、「最高機密」「機密」「秘密」といったようにファイルを分類しているが、コンチネンタル航空では、主階層や副階層などを駆使し、さらに詳細で動的な分類を行っているという。

　今回の調査では、「ビジネス価値のあるデータは隔離するようセキュリティ対策で定めている」とした回答者の割合は、わずか24％にすぎなかった。また、「リスク・レベルに準じたデータ分類を定期的に行っている」とする回答者の割合は68％だったが、逆に30％はそうした対策をまったく実施していないという深刻な実態も浮かび上がった。

　ロベル氏は、「この手の対策にも大変な労力が必要になるため、法規制によって対策の整備が義務づけられないかぎり、ほとんどの企業が実行に移そうとはしないだろう」と指摘する。

セキュリティ戦略を確立し競争優位を確保する

　今回の調査結果において、「2008年のセキュリティ支出は増える見込み」とした回答者の割合は44％に上り、セキュリティ予算の平均額は170万ドルとなった。一方、「支出を減らす」と答えた回答者は、わずか4％にすぎなかった。こうしたセキュリティ予算は何に費やされるのだろうか。──この問いに対する調査結果からは、明るい未来が垣間見られる。

　例えば、2009年のセキュリティ予算で優先する投資対象は、セキュリティ・コンサルタントとの契約や、CISOの新規雇用であるという回答が多数寄せられた。また、携帯端末のセキュリティ対策や、アイデンティティ管理戦略の考案、あるいはバイオメトリクス（生体認証）技術やセキュリティ・インシデント分析ツールといったテクノロジーへの新規投資を検討しているという声も上がった。

　PwCのロベル氏は、「こうしたステップを1つずつ踏んでいけば、企業はいずれ包括的なセキュリティ戦略を確立することができるはずだ」と指摘する。また、同氏によれば、回答企業の4割ほどが、すでに商業的見地からセキュリティを運用しているという。つまり、ライバル他社よりも顧客情報を厳重に保護していることを自らを売り込む際の武器とするわけだ。「だがそれも、セキュリティ対策がきちんと機能している場合にのみ、競争優位が保たれるということを忘れてはならない」（ロベル氏）

本記事は、「CIO LINKS」でもご覧いただけます。

>>記事へ

（CIO Magazine 2009年2月号に掲載）