 |
|
|
| 前のページ 1 2 3 次のページ
|
|
| EAの導入においてセキュリティの確保が重要課題
|
情報システム構築の目的を一言でいえば、「業務プロセスを改善し、効率と効果を極大化させること」といえるだろう。一方、情報漏えいやウイルス、不正アクセスといった情報システムに対する脅威が拡大しており、セキュリティの重要性はますます高まっている。この2つの要求は、ある局面においては相反する場合があり、逆に、別の局面では調和する問題もある。
このように、EAの導入を進めるとき、セキュリティの視点は切っても切り離せないが、既存の組織の多くはこの設計に困難をかかえている。業種業態を問わずに、以下のような問題・課題が浮き彫りになっている。
|
- 情報システムの構築において、セキュリティが「後付け」になっているため、追加コストの増大を招く
- 最適なセキュリティレベルをはかる方法がなく、対策が不十分だったり、逆に過剰であったりと不整合が生じる
- 新たな脅威が発覚すると場当たり的な対応をとってしまい、組織としてのマネジメント体制が不十分
|
また、セキュリティと効率性・利便性はトレードオフの関係になる場合がある。例えば、情報の機密性を高めようと思えば、暗号化メールの使用を義務づけたり、USBメモリの使用を禁止したりして制限をかけることがあげられる。しかし、このようなセキュリティ対策が行き過ぎると、情報システムの効率化が著しく損なわれ、情報システム導入の効果が十分に発揮されない、という状況になりかねない。費用対効果の観点から、最適なセキュリティレベルを設定することが重要だ。
このように、EAによる情報システムの最適化において、効率化とセキュリティという2つの目的を充足することが求められる。そこで重要となるのが、EAと対になる「セキュリティ・アーキテクチャ(Security Architecture:SA)」の考え方だ。
|
| 「セキュリティ・アーキテクチャ」とはなにか?
|
SAとは、システム全体で求められるセキュリティレベルを決定し、それを実現するためのフレームワークのことである。EAの階層モデルと対になる形で、組織の業務やシステムにおけるセキュリティ要件を対応づけることができる(図2)。
|
図2:EAとSAに基づく業務・システムの最適化
出典:みずほ情報総研
|
SAの各階層の役割は以下で解説するとおりである。
|
| セキュリティポリシーレイヤ
|
システム全体のセキュリティは、技術的解決策(ソリューション)だけで実現されるものではない。組織のビジネス戦略とリスクマネジメントの観点から、対象となる情報資産を洗い出し、情報資産に対する脅威とリスクを分析する。それを踏まえてセキュリティポリシーを策定し、システムのセキュリティ設計、セキュリティ実装と落とし込んでいく必要がある。
|
| セキュリティデザインレイヤ
|
セキュリティデザインレイヤでは、SAの中核であるセキュリティ設計を行う。セキュリティを確保しつつ、業務やシステムの最適化を行うためには、適用業務(アプリケーション)のプロセスとデータライフサイクルに対応したセキュリティ要求事項を設計しなければならない。
このセキュリティ要求事項は、現行業務(As-Is)と将来体系(To-Be)のギャップをすりあわせて、EAのアプリケーションレイヤやテクノロジーレイヤのアウトプット(情報システム関連図、情報システム機能構成図、ネットワーク/ソフトウェア/ハードウェア構成図など)に適切に反映される必要がある。
|
| セキュリティインプリメンテーションレイヤ
|
セキュリティ設計に基づいて、個別のセキュリティ管理策を実装する。このレイヤはEAではテクノロジーレイヤに対応すると考えられるが、ファイアーウォールやIDSの設置、暗号化通信、電子署名・認証といった技術的コントロール策だけでなく、組織内規定・基準の整備、教育訓練計画の策定といった人的要素のセキュリティを実装することも極めて重要である。
実装されたセキュリティ管理策を運用していくフェーズにおいては、セキュリティ・マネジメントのPDCAサイクルを回していくことになる。その段階で見つかった問題点や課題は、上位の階層にフィードバックされ、必要に応じて改善を行っていく。
|
※編集局注
PDCAサイクルとは、計画(Plan)、実行(Do)、評価(Check)、改善(Action)のプロセスを順に実行し、改善を次のサイクルに結びつけ、螺旋する業務活動改善サイクルのこと。
|
|
前のページ 1 2 3 次のページ
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 金子 浩之
みずほ情報総研株式会社 情報セキュリティ評価室 室長
経済産業省が進めるITセキュリティ評価認証制度の認定を受けた評価機関(情報セキュリティ評価室)においてITセキュリティ評価・コンサルティング事業を担当。そのほか、最近では、システムのセキュリティ評価技術の研究開発、情報セキュリティをはじめとする受託調査、研究開発、システムセキュリティ評価、システム監査等に従事。
|
|
著者プロフィール
みずほ情報総研株式会社 佐久間 敦
みずほ情報総研株式会社 システムコンサルティング部
情報セキュリティをはじめとする情報政策関連調査研究、政策立案コンサルティング、IT関連技術動向調査等を担当。最近のプロジェクトは、情報セキュリティ人材育成に関する調査研究、重要インフラにおけるセキュリティ現況調査など。現在、日本ネットワークセキュリティ協会スキルマップ検討ワーキンググループリーダーを担当。
|
|
|
|
|
|
