前回までに、企業が情報漏洩対策を徹底していくうえで、どのような点に気をつけ、どう対策を講じていくのが望ましいのかについて紹介した。具体的には、情報漏洩の約8割は企業内部からの流出に起因していること、対策としては大きく5つに分けられること、対策を講じる際には、それら5つの対策における機能の重複や不足を考慮しつつ総合的に行う必要があることなどだ。
続いて問題になるのが、各製品の信頼性である。機能的にお眼鏡に適った製品が、果たしてどこまで信頼できるものなのか。セキュリティという分野においてこの部分を検討することは、最も重要な作業の1つである。今回は、その際に役立つ基準の1つとして、製品の信頼性を担保する認証「ISO/IEC 15408」を紹介する。
ISO/IEC 15408(CC)とは
すでにご存知の方も多いと思うが、ISO/IEC 15408とは、情報セキュリティの観点から、ITに関連した製品やシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格のことだ。セキュリティ製品を共通の評価基準で国際的に認証する仕組みで、コモンクライテリア(CC)とも呼ばれる。
IPAでは、ISO/IEC 15408の意義を「情報技術製品のセキュリティの度合いを、仕様書やガイダンス、開発プロセスなど、様々な視点から系統的に評価できるようになる」こと、また、「消費者(調達者)は、導入を検討している製品を共通の基準で比較することができ、必要なセキュリティレベルに応じて必要な機能を具備し、運用や管理まで考慮した製品やシステムを、適正なコストで導入することが可能となる」ことにあるとしている。
実装されているセキュリティ機能の信頼度としては、評価保証レベル(EAL)がEAL1~EAL7の7段階で決められている。具体的には以下の(表)のようになる。
| EAL7 | 設定されている評価保証レベルの最高レベルであり、非常にリスクが大きい 環境や高い開発費用に見合う資産を保護するために開発された製品の保証レベル |
|---|---|
| EAL6 | 重大なリスクに対抗して高い価値のある資産を保護するために、開発環境にセキュリティ工学技術を適用して開発される特別製の製品の保証レベル |
| EAL5 | 特定の分野の商用製品・システムにおいて、最大限のセキュリティ確保をするためにセキュリティの専門家の支援により開発、生産された製品の保証レベル |
| EAL4 | 商用製品やシステムにおいて高度なセキュリティ確保を実現するために、セキュリティを考慮した開発と生産ラインを導入して生産される製品の保証レベル |
| EAL3 | 不特定な利用者が利用できる環境、不正対策が要求される場合に用いられる製品の保証レベル |
| EAL2 | 利用者や開発者が限定されており、安全な運用を脅かす重大な脅威が存在しない場合に用いられる製品の保証レベル |
| EAL1 | クローズドな環境での運用を前提に安全な利用や運用が保証された場合に用いられる製品の保証レベル |
| ※ IPA資料より | |
EAL5以上は軍事用途向けや高度なセキュリティ用途向けで、EAL1からEAL4は商用製品向けとされている。なお、EALは設計が正しく実装されているかを評価したもので、セキュリティ強度を示したものではない。EALが高くなるほど、評価対象が広くなるといったかたちだ(例えば、EAL4以上は、ソースコードの開示が求められ評価対象になる)。
国内セキュリティ製品の取得状況については、IPAのサイトで確認することができる。制度の運用が始まった当初は、海外展開の必要性からデジタル複合機やICカード関連の製品取得事例が多かったが、近年では、データベース、アプリケーションサーバ、運用管理ソフトなどでの取得も増えてきている状況だ。
情報漏洩に関連するソフトウェア製品としても、情報漏洩防止ソフト、ログ監視ソフト、データ保護ソフト、ファイアウォール、暗号化ソフトなどが取得しており、製品購入の際の参考にできるようになった。
政府調達基準の改訂で企業への普及が加速
さて、ISO/IEC 15408(CC)は以前から存在する認証制度で、決して目新しいものではない。しかし、今、このISO/IEC 15408が、ある理由から国内で大きな関心を集めはじめている。
その理由は、内閣府の通達にある。今年4月、内閣府は、政府機関のIT製品調達に対してISO/IEC15408認証製品の購入を「推奨」から「義務」とする通達を出した。具体的には、統一管理基準の「1.5.1.1 情報システムのセキュリティ要件」のうち、(d)情報システムの調達に関する項目の位置付けが【強化遵守事項】から【基本遵守事項】に変更になっている。
これを受け、すでに経済産業省では、同省で策定する「ITセキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」を更改。ISO/IEC 15408認証製品を購入すべき具体的な製品分野として、以下の6つが挙げられている。
| スマートカード(ICカード) | プラスチック製カード等にIC チップを埋め込み、情報を記録できるようにした製品 |
|---|---|
| ファイアウォール | インターネットと内部ネットワークの境界に配置され、パケットの内容と事前に定義されたルールに基づきパケット通過を制御する製品 |
| OS(サーバOSに限る) | コンピュータのハードウェア制御・操作のために用いられる基本ソフトウェア |
| デジタル複合機(MFP) | プリンタ機能を標準で有しスキャナ、FAX、コピーのいずれか2つ以上の機能を標準で装備している製品 |
| 不正侵入検知/防止システム(IDS/IPS) | ネットワークやシステムの稼動状況を監視し、組織内のコンピューターネットワークへの外部からの侵入を報告、防御する製品 |
| データベース管理システム(DBMS) | 共有データとしてのデータベースを管理し、データに対するアクセス要求に応える製品 |
また、これらについて、一般的に必要となるセキュリティ機能としては、セキュリティ監査、送受信の否認不可、暗号化サポート機能、アクセス制御、データ認証、送出データ保護、情報フロー制御、入力データ保護、内部転送データ保護、残存情報保護、ロールバック、蓄積データ完全性、転送データ機密性、転送データ完全性、識別・認証、セキュリティ管理、プライバシー保護、セキュリティ機能保護、資源利用管理、TOEアクセス制御、高信頼バス/チャネルが挙げられている。
政府調達基準の見直しにより、ISO/IEC 15408の義務付けが強化されたことで、今後、一般企業でもこうした観点からの製品調達が望まれるようになると見ることもできる。情報漏洩対策として、ISO/IEC 15408認証を取得した製品などをチェックしておくことは、セキュリティ製品を選択する際の基準の1つとして重要だろう。
"穴"のないセキュリティを実現するために
以上、今回まで3回にわたり、情報漏洩対策ソリューションを選ぶうえでの参考情報を紹介した。いかがだっただろうか。
ここで簡単にまとめておこう。
一口に情報漏洩対策ソリューションと言ってもさまざまな種類が存在する。これらを個別に導入した場合、「重複」や「不足」が生じやすいので、注意が必要だ。特に問題視すべきは「不足」のほうである。情報はセキュリティレベルの低いところから流出するので、一部にどれほど高度なソリューションを導入していようと、全体で見たときに不足があればすべてが無駄になってしまいかねない。
また、コンセプトの異なる複数の情報漏洩対策製品を導入すると、ユーザーや管理者の業務効率を低下させることもある。企業の業績に悪影響を及ぼしかねないので、この点も配慮が必要だ。
そして、企業の資産を守るために導入されるセキュリティ製品においては、ハイレベルの信頼性が求められる。信頼性を測るのは簡単ではないが、1つの基準として「ISO/IEC 15408」という認証があるので、これを参考にするのもよいだろう。
なお、こうした諸条件を満たす製品の1つに挙げられるのが、ハミングヘッズの「セキュリティプラットフォーム」である。同製品は、メールやWeb、USBメモリなど、外部に出るファイルをすべて自動で暗号化できるほか、ハードディスク対策、ログ取得などの機能も兼ね備えている。総合的な対策ができる情報セキュリティソフトとして、国内で唯一ISO/IEC15408のEAL3を取得している製品でもある。
情報漏洩対策製品は、人間の行動を基に対策を施すものであるため、機能や種類が豊富で導入時の選定が難しい。その場しのぎの導入を続けていては、いずれ大きな事故が発生する可能性がある。これを機に、改めて対策を見直してみてはいかがだろうか。
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
