【セキュリティポリシー策定のヒント】総務省ガイドラインを難しく見せている原因（２）

はじめに

前回のコラム「【セキュリティポリシー策定のヒント】総務省ガイドラインを難しく見せている原因（１）」が比較的好評だったので、気を良くして続きを書いてみます。

前回の体制や役割がセキュリティポリシー策定のハードルだったのに対し、今回はセキュリティポリシー遵守を難しくさせている要因です。それは「情報資産の重要性分類」です。

若干過激なことを書いておくと、総務省のガイドラインに書かれたことだけでは、ポリシーに基づく実効性の高い対策がうたれているとは言えません。言い換えると、多くの自治体は遵守できないポリシーを策定しています。ここでインシデントが生じたときに何が起きるのか、それは見識ある皆様のご想像にお任せします。

なお、プロキュアテックでは今回のテーマとなる問題も内部的に解決しています。

情報資産の分類について

情報資産の重要性分類における課題をどのように解決するか

総務省のガイドラインでは庁内の情報資産を機密性、完全性、可用性の３つの基準で分類し、分類に応じて取扱いを制限することとしています。ちなみに機密性は３段階、完全性、可用性はそれぞれ２段階の基準ですので、３×２×２＝１２個の分類が可能になります。

この時点で現実的な運用が期待できません。一般的に分類→分類の可視化→取扱制限（代表的なのはゾーニング）の手順を経るのですが、情報資産を目の前にして１２分類のうちのどれに該当するかを判別している現場を見たことがありません。

個々の情報資産の取扱制限を職員が行うことも理屈の上では可能ですが、職員はそんなに賢くないので（私もムリです）間違いなく現実的ではないでしょう。結果的に情報システムによる仕組みで取扱制限を行うことになります。素直に考えれば、１２種類に取扱を分けられる情報システムがあればよいのですが、職員は混乱するでしょうし、それだけの情報化投資を行うのはバカバカしいです。

そうなると、分類の絶対数を減らす必要があります。そして職員に負担を掛けずに運用できる仕組みが必要となります。

強靱性向上モデルを使う

この際、どちらが先なのかという話は置いておいて、私は職員に負担を掛けずに運用できる仕組みとして、あの「強靱性向上モデル」を使うことを提案します。強靱性向上モデルについては賛否ありますが、私が関与する自治体では以前からあのモデルのようにネットワークを分離して運用しておりましたので、ようやく世の中が追いついたというぐらいの感覚です。

さて、強靱性向上モデルでは庁内ネットワークを３つに分けて運用するものでした。そこで分類の絶対数を思い切って３つに減らし、分離したネットワークと対応付けるという方策ならば、過大な追加投資も不要になります。

具体的には、機密性、完全性、可用性という分類を「重要性」という基準に統合します。と言ってもやっていることは単純で、機密性＋完全性＋可用性＝重要性としただけです。

表．重要性による情報資産の分類

なかなか微妙な分類ですが、議論のスタートとしては悪くないでしょう。もちろんこの表を考えもなしに使うのはNGです。

さらに、この重要性を分離したネットワークと対応付けます。その際、ネットワークにわかりやすい名称を付与します。

• レベル３ネットワーク（いわゆる番号系）　　　　　　　　→　重要性３
• レベル２ネットワーク（いわゆるLGWAN接続系）　　　　→　重要性２
• レベル１ネットワーク（いわゆるインターネット接続系）　→　重要性１

名称を付与したのは、そろそろあのセンスのない（○○接続系とかいう）名称を根絶させる必要があるだろうということと、レベルの数字と重要性を直感的に対応させたいためです。

なお、鋭い方は「この話なら、機密性による分類で良くない？」と思われるかもしれません。確かにそのとおりなのですが、庁内ネットワークを３つに分ける段階で、それぞれのネットワークの中で統合運用基盤なる仕組み（仮想化基盤をベースとして運用に必要な機能を基盤側で一元的に持つ）を整備していく未来像を考えると、バックアップや稼働監視等の仕組みはシステム側で持たずに統合運用基盤側で持つ方が個別システム側の負荷が減るのではないかと考えてのことです。そしてその運用のレベルはネットワーク単位でメリハリをつければよいのではないかと考えたのでした。

腹をくくって分類する

上記の表は、一見するともっともらしいのですが、よく読むとツッコミどころが満載で使えません。特に分類基準はひどくて、「秘密文書に相当するって具体的に何よ」とか「軽微ってなんやねん」とか「行政事務の適確な遂行ってどのレベルの話」とか「重要性１って消去法で決まるんかい」とか、悩ましいことだらけです。

仕方ありませんので、ここは腹をくくって分類しなければなりません。実は強靱性向上モデルはここで役に立ちます。分類の絶対的な基準は存在しませんので、現在稼働中のシステムや保持している情報資産（ファイルとか）がどのレベルのネットワークに配置されているのか、その現状を調べて分類基準と照合することをオススメします。

場合によっては分類基準の方を変更することもアリだろうと考えます。結局はセキュリティポリシーの遵守を目的として重要性とネットワークを対応付けられればよいわけですから、それぞれの自治体の考えが違ってもよいと思います。

分類についての具体的な手法は、ここではあえて書きませんが（コンサルとしてお話したい事項ですし）、情報資産そのものが所属ごと、システムごとで異なるはずなので、全庁的に統一した対策基準の中でまとめられるはずはありません。したがって、これらの分類は所属ごと、システムごとに整備する実施手順に記述することになります。

どの程度の詳細度で情報資産の分類を定義するかと言うと「職員が迷わない程度」というのが答えです。したがって、対策基準のような抽象的な基準では役に立ちません。あえて言うのならば、実際に取り扱う情報資産を列記し、それぞれに重要性を定義するぐらいのことが求められます。

実はガイドラインにもそれらしいことが書かれているのですが、不思議と取り組みの手法についての記述はきれいに読み飛ばして、例文をパクることばかり考えている傾向が見られるのもアレな感じです。もっとも上記のような泥臭い話はガイドラインでは全く書かれていませんが。

なお、この分類においても引っかかりポイント（落とし穴）があります。例えば「情報資産の中に異なる重要度の情報が混在している場合」などです。高いレベルに合わせると運用が破綻しますし、面倒になってレベル３ネットワークにすべてをつっこまれて、管理コストが増大しますよ。これについての効果的な答えはもちろん用意してありますので、ぜひとも（コンサル案件として）お声掛けください。

取扱制限について

上記の表にある「取扱制限」ですが、遵守できるポリシーを策定する過程で、現実との整合をはかっていく場面が生じるものと考えます。

さらに言えば、対策基準の表以外の箇所にも取扱制限についての記載もあるものの、上記の表はそれらと記述の整合性がはかられているわけではありません。したがって表にある取扱制限は、ポリシー策定を検討した当初はあくまでもファンタジー（言い換えると、空欄だと寂しいから何か書いてみたという程度）だと思った方がよいです。

なお、対策基準の例文には、所々に「必要に応じて○○する」のような記述が見られます。そしてそれらは主に取扱制限に掛かる部分の記述となっています。なるべく多くの自治体をカバーする例文として示しているので仕方ない面もあるのですが、「必要に応じて」とは誰にとっての「必要」なのかをよく考えてみるべきです。

個々の自治体でその都度「必要」を考えるのならばポリシー策定の意味はありません。したがって、最終的に対策基準を策定する段階では「必要に応じて」という記述は、その必要を吟味した上で適切な措置内容に書き改めるべきです。

むすび

今回はセキュリティポリシーを遵守する過程で課題となる「情報資産の重要性分類」について、私の拙い経験に基づく私見を書かせていただきました。ご参考になれば幸いです。

なお（繰り返しですが）、実効性の高いセキュリティポリシーの策定を支援を行う事業を行っておりますので、ぜひともお声掛けください。