システムリスク管理の個別論点

システムリスク管理の論点となるポイントを説明します。

情報セキュリティポリシー

1.情報セキュリティポリシーの体系

情報セキュリティポリシーは、金融機関における情報セキュリティ上のリスクを軽減するために重要な役割を果たします。
また、セキュリティ対策の実効性を確保する上で重要な要件となります。
しかしながら、情報セキュリティポリシーを策定しただけでは決して十分とは言えません。これを実効的に運用していくことが極めて重要になります。
したがって、情報セキュリティポリシーの適切性や策定プロセスだけではなく、実務における遵守状況を確認していく必要があります。

【セキュリティポリシー等】

経営陣は情報セキュリティポリシーの策定に主体的に関与することが重要です。一般に、情報セキュリティポリシーは、いくつかのレベルから構成されますが、それらの最上位に位置する「基本方針書」は、経営陣による企業の情報セキュリティへの取り組み方針を示したものでなければいけません。
また、情報セキュリティポリシーには、企業が保護すべき情報資産、保護する理由、責任の所在が明示されていることも必要です。

情報セキュリティポリシーの策定に関しては、情報資産の洗い出し、リスク評価の妥当性、リスク評価結果を基にした「セキュリティスタンダード」を策定することや、基本方針において定義された情報資産を保護するために具体的にユーザがどのような手順に従って何を実施すべきかを手続書、マニュアルで明確にしておくことがポイントになります。

情報セキュリティポリシーは、定期的もしくは必要に応じて随時、見直しを行っていく必要があります。
なお、情報セキュリティ管理システム(ISMS:Information Security Management System)に関しては、国際規格であるISO/IEC27001、「情報技術ーセキュリティ技術ー情報セキュリティマネジメントシステムー要求事項」(JISQ27001国内規格)の枠組みも参考になります。

2.情報セキュリティポリシーの周知徹底

情報セキュリティポリシーの実効性を確保するために、派遣社員や外部委託先を含め、全役職員に周知徹底する必要があります。
情報セキュリティポリシーを浸透させるためには、具体的な教育計画並びに教育態勢の確立が前提となります。実際の研修では、情報セキュリティポリシーに関するパンフレット、ハンドブック、ビデオ作成など、用途に応じて効果的な手段を検討していくことが必要です。

しかし、情報セキュリティポリシーの内容が表面的に理解されていたとしても、違反が横行しているようであれば意味がありません。
ポリシーの実効性を強化するために、例えば、違反行為に対する懲罰規定の適用なども検討しておくべきでしょう。
また、情報セキュリティポリシーの実効性を確保するためには、モニタリング体制の整備が欠かせません。モニタリング方法の一例として、情報システム部門および利用部門において、運用状況を自己評価(Control Self Assesment)することが考えられます。

 

エンドユーザコンピューティング(EUC)

EUCとは、一般的に、エンドユーザが情報の検索、分析、ドキュメント作成などのために、簡易ソフトウェアもしくはサーバなどを活用して、ユーザ独自にシステム開発・運用することを指します。
EUCでは、システムの決定およびユーザのニーズを比較的短期間で実現できるメリットがあります。
一方で、EUCは情報システムの専門家でないユーザがシステムを管理することに起因する問題点も少なくありません。ユーザ部門に任せきりにすることなく、システムリスク管理部門等による適切な関与が求められるところです。

1.EUCシステムの全体管理

EUCシステムが、全社的な情報システムの管理対象から漏れることなく洗い出されている必要があります。把握すべき内容として、各EUCシステムが取り扱う業務内容、EUCシステムの重要度、システム構成、システム開発の方法および委託状況、ライセンス数の管理などが挙げられます。

2.EUCの導入管理

EUCシステムが無秩序に導入されないために、EUCシステムの導入に対する規程および手続を整備しなければなりません。
また、「導入計画書」を作成し、EUCシステムの目的、適用範囲、管理者、提供する情報の機密度、導入時期、システム開発の形態、費用対効果、運用体制などを記録した上で、導入部門の責任者の承認、影響を受けるであろう部門の責任者の承認を得ておく必要があります。

3.権限の明確化

EUCシステムの開発、運用、利用にかかわるユーザ部門内の担当者の職務権限および利用権限を規定します。組織的に職務分離が困難な場合には、相互牽制によるチェック体制の確保が必要です。
また、EUCシステムの権限に対する管理責任者の設置、ユーザIDおよびパスワードの管理、並びに利用者に対するアクセス権限の管理がポイントになります。

4.EUCシステムの関発管理

EUCシステムの開発管理が適切でない場合、品質の低下、納期の遅延、セキュリティレベルの低下、費用拡大などの問題が発生する可能性があります。
特に、セキュリティ要件については、全社において一定のセキュリティレベルを確保するために、セキュリティ管理部門によるEUCシステムの開発への関与が必要となります。

5.EUCシステムの運用管理

EUCシステムの運用において、導入計画時に想定した十分なセキュリティが論理的・物理的の両面から確保されていることが重要です。
特に、EUCシステムに関するアクセス管理では、サーバおよびデータへのアクセス権限の管理、ユーザに付与されたユーザIDおよびパスワードの管理、サーバの設置状況が確認のポイントになります。
また、サーバ上のデータバックアップ手続、バックアップ媒体の管理、サーバの定期的な保守、サーバ障害時の対応、データ量の増加に伴うサーバ性能低下を想定した対策なども整備しておかなければなりません。
不正、あるいは不要なデータが基幹系システムに許可なくアップロードされることがないよう的確な管理手続が必要です。

 

ネットワーク管理

多くの企業が、LAN、WAN、インターネット、イントラネット、Eコマース、暗号・認証システムなどを活用している中で、ネットワークはすでに社会インフラとなっています。
また、現代社会のような、ネットワークを活用した情報システムのオープン化の環境では、情報システムが潜在的に抱えるリスクが顕在化した場合、ビジネスへの影響が非常に大きくなると考えられます。
このような背景から、自社のネットワークシステムの現状を「信頼性」、「安全性」、「効率性」の観点から評価し、実際に問題が発生する前に、対策を講じていくことが必要になります。

1.ネットワーク管理

ネットワーク管理では、ネットワーク管理態勢、ネットワーク全般とセキュリティに関すつ手続、ネットワーク構成管理、障害対策状況が整備されている必要があります。

  • ネットワーク管理体制
    • 全社的なネットワークを総括管理するネットワーク管理者が任命されているか。
    • ネットワーク管理者の職務内容および権限が明確に定義されているか など
  • ネットワーク全般とネットワークセキュリティに関する手続の整備
    • ネットワーク機器およびソフトウェアの導入・保守の手続
    • ネットワークのセキュリティ違反の検知時およびネットワークシステムのダウン発生時の対応手続
    • ネットワークに関するモニタリングの管理手続 など
  • ネットワーク構成の管理
    • ネットワーク構成図およびIPアドレス設定情報の管理
    • 無許可のネットワーク機器の接続に対する監視
    • ネットワーク構成に変更が発生した場合の手続 など
  • 障害対策
    • ネットワーク障害発生時の対応
    • ネットワーク構成の二重化
    • 代替回線の確保 など

2.インターネット関連および電子メール

インターネット関連および電子メールの管理については、次の点がポイントになります。

  • インターネット
    • ユーザーのためのインターネット利用手続の整備およびユーザーの遵守状況
    • インターネットサービスプロバイダを活用している場合、プロバイダサービスに関連するセキュリティ対策の評価。セキュリティ要件が契約書に含まれていること。
  • 電子取引(インターネットなどを活用したEコマース)
    • 本人確認のための認証システムの導入および管理
    • ネットワークシステムのダウン、情報漏えい、外部侵入などによる被害発生時の対応手続
    • 顧客からのクレームなどへの対応手続 など
  • ホームページ
    • ホームページの開設・更新に関する手続の整備および手続に対する責任者の承認
    • ホームページの不正書き換えに対する防御策、並びに監視状況 など
  • 電子メール
    • 電子メールに関する取扱規程の整備
    • 社員への教育体制および規程への準拠
    • 電子メール活用に対する監視・モニタリング体制
    • ウィルス感染の防止策
    • 迷惑メール対策 など

 

セキュリティ管理

セキュリティ管理では、ネットワークに対するアクセスコントロールが特に重要になります。

  • 重要なネットワーク機器へのアクセスコントロール
  • ネットワーク機器の設定作業の権限
  • モバイルコンピューターなどによる外部からのアクセスコントロール
  • 外部ネットワークとの接続箇所に対する不正アクセス防止対策 など

具体的には、例えば、定められたセキュリティ管理手続に従い、ネットワーク管理者によってネットワーク機器にアクセスするためのパスワードが管理されていること、パスワードが定期的に変更されていることなどが挙げられます。

不正アクセス防止策として、ファイアーウォール、プロキシサーバ、リモートアクセスサーバの設置およびこれらの機器に対するモニタリング状況などを確認しなければなりません。
また、ネットワークセキュリティの検証手法として、ネットワークおよびネットワークサービスの弱点を調査するために、ネットワークに模擬的な不正侵入を試みる「ペネトレーションテスト」があります。
このほか、ネットワーク、サーバへのアクセスを常時監視するリアルタイム監視ツール、サーバなどへのアクセスログを解析し、不正と思われるアクセスを発見するためのログ解析ツールの活用があります。

 

システム関係の外部委託業務

多くの企業において、システム開発、運用などの情報システム関連業務の一部もしくはすべてを外部業者に委託しています。外部委託先に業務委ねる目的には、専門的な情報技術を活用した情報システムサービスの向上とシステム機器および要因などの情報システム資源のコスト削減が挙げられます。
しかし、いったん外部業者に業務委託した場合、委託先の変更、また委託した業務を再度情報システム部門に戻すことは、容易ではありません。
したがって、業務委託を開始する際に、外部委託先の選定、契約内容の妥当性、費用対効果の検討を慎重に行うべきです。
また、委託業務の進捗、提供されるサービス内容など、委託業務全般に対する委託側の管理体制の確立も不可欠になります。

1.外部委託計画書の策定状況

情報システム関連業務の外部業者への委託にあたり、自社の外部委託業務の基本方針に基づき、情報システム戦略と整合性のとれた外部委託計画を策定することが必要です。外部委託計画の策定にあたっては、策定の手続が明確に定められていることが前提となります。
外部委託計画書には、次の項目が明示されているかを検証します。

  • 外部委託の目的
  • 委託業務の範囲
  • 期間
  • 委託形式
  • 費用対効果
  • 委託先の選定理由
  • 委託により生じるリスク など

また、外部委託計画書は、責任者および必要に応じて取締役会などにより、正式に承認を得ている必要があります。
さらに、経営方針および情報システム関連の技術の変化に応じて、外部委託計画の見直しが実施されているかについても確認が必要です。

2.外部委託先の選定状況

外部委託先を選定するために、委託業務の特性を勘案した委託先の選定基準が明確であるか確認します。
委託先選定基準には、委託先の事業の安定性、過去の委託業務実績、風評、外部委託先が提供可能な情報システムに関する技術レベル、情報セキュリティの対策、委託費用などが挙げられます。これらの設定された選定基準に基づき、委託側では、外部委託先が提案した受託条件を公正に比較検討し、選定されているかなどを確認します。

3.契約内容(契約書、サービスレベルアグリーメント)

外部委託業者の契約書では、情報漏えいを防止し、情報資産の安全性を確保するために、外部委託先と委託業務に関する守秘義務契約を締結する必要があります。
外部委託先の不正防止、知的財産権の帰属、免除項目などが明確に定義されているかどうかも確認の対象となります。
また、委託先から提供されるサービスの品質維持および向上のために、具体的な評価指標の設定が必要です。例えば、システム運用を外部委託している場合には、サービスレベルアグリーメント(SLA:Service Level Agreement)を作成し、委託先が運用可能である具体的な評価指標および目標値を設定し、指標に対する達成率を評価していることが望まれます。

4.費用対効果の適切性

限られた費用の中で、情報システムおよびその業務から最大限に効果を引き出すために、費用対効果の分析は不可欠です。
外部委託計画の策定時に見積もった費用対効果に対して、実際に委託先が提供した業務サービスに対する定期的な評価を行い、期待した効果の実現に関する分析を実施しているか、またその分析方法などを確認します。

5.委託先の管理体制

委託元における、外部委託している情報システムおよび関連業務に対する管理状況を確認します。管理体制では、外部委託している業務に対するリスク管理を可能とする体制の確立が望まれます。外部委託先の委託業務の実施状況を把握するために、定期的に外部委託先から進捗・稼働状況の報告を受けているか、また成果物の検収および結果のフィードバック状況などについても確認の必要があります。SLAが設定されている場合には、SLAに定義されている目標値と実際のパフォーマンスを比較するために、委託側のモニタリング体制について確認します。
このほか、外部委託業務において発生した事故、ならびに問題点については、速やかに報告を受けられる体制が確保され、重大事項については担当役員まで報告されていなければなりません。

6.外部委託先に対する監査権

情報システムに関する業務の外部委託先への依存度が高い企業においては、外部委託先に対する監査権が不十分な場合には、情報システムに関する問題の把握およびその対応に遅れが生じる可能性があります。
このため、外部委託先との契約書において、監査権に関する条項を明確に含めているかについて確認します。
また、監査権が確保されている場合には、定期的に外部委託先に対する監査を実施し、委託業務の適正性を検証していることが望まれます。

 

コンティンジェンシープラン

業務が情報システムに依存している現在、災害が発生した場合の業務継続のために、コンティンジェンシープランは非常に重要です。
災害が発生した場合には、情報システムへの影響を最小限にとどめ、迅速にシステムを復旧することが必要です。

コンティンジェンシープランの策定では、コンティンジェンシープランの基礎情報となるリスク評価のプロセスがポイントになります。リスク評価として、情報システムの継続性に影響を与える災害等の脅威の洗い出し、脅威による情報システムへの影響、それに伴う損失の見積もりを行うことになります。
また、ビジネス上の必要性からシステム停止の許容時間や回復処理の優先順位などが明確に定義されていなければなりません。
策定過程では、情報システム部門だけでなく、事務企画部門、営業企画部門、ユーザ部門など関係部門が参画することが望まれます。
さらに、コンティンジェンシープランの策定および重要な変更事項の反映には、関係部門の同意、ならびに取締役会の承認を得ている必要があります。

コンティンジェンシープランは、災害による直接的な緊急事態、およびその他の内部あるいは外部の事象に起因する緊急事態が発生した場合の対応手順を具体的に明文化します。
例えば、緊急事態発生時における対策本部、情報システム部門、コンピュータ・センター、各拠点の体制、役割分担、職員間の連絡網、メーカー・外部委託業者の連絡先、対応手順などが挙げられます。
なお、緊急事態における対応は、次のように大別できます。

  • 初期対応:緊急体制の立ち上げと情報収集
  • 暫定対応:手作業、もしくはバックアップシステムへの業務の切り替え
  • 復旧対応:暫定対応から平常時の稼働体制への引き継ぎ

緊急対応を迅速かつ円滑に実施するためには、あらかじめ各段階における対応手順およびその詳細を検討しておくことが必要です。
また、緊急事態が発生した場合の通信手段、バックアップセンターにおける対応、代替施設などの確保も必要です。災害時に代替センターとして活用するバックアップセンターは、平常時に発生したシステム構成および運用などに関する変更箇所を適宜反映し、災害時には常に稼働可能な状態を確保する必要があります。

記事製作者

中小企業診断士 湯谷 一夫

コンサルティングのご依頼などサービスの詳細は、次のバナーをクリックしてください。  

コメントを残す