シンジです。皆さんの会社には「セキュリティポリシー」などはありますか?企業規模や事業内容によって様々なものですが、cloudpack(アイレット株式会社)は、そのポリシーを明文化して、可能な範囲で公開しています。このホワイトペーパーを読むことで、cloudpackがAWSを利用する上でどのようなセキュリティ対策を施しているかが分かります。
なんの為に書くのか
もはやホワイトペーパーは自分(自社)への戒めです。自分たちが作り上げたセキュリティポリシーを外部に公開することで、これには様々な反応があります。
- これだけやってるcloudpackなら安心だ!
- この程度のセキュリティで何がcloudpackだ!
というわけです。まずはセキュリティに対する取り組みの姿勢を見せることが大事です。このホワイトペーパーは、セキュリティの専門化の方もご覧になりますし、実際にご指摘を頂戴したりもしました。そうやって様々な意見を取り入れて進化させていく、クラウドのスピード感を大事にする、それこそが公開する目的なのです。
こんな話をしていいのか?CTO鈴木宏康の名言
ちょっと話は変わりますが、cloudpackは社員が様々な技術ブログを書きます。そのことについて、
「自社で蓄積したノウハウや技術をブログに上げるのは危険なのでは?」
という質問があがりました。これに対して鈴木は、
「ウチが採用した技術は、採用した時点で既に古い物だから。だからブログに書いて、どんどん共有するべきだ。cloudpackは更にその先の技術を作る。その繰り返しなんだ。」と。
シビれました。そんな社風だからこそ、このブログも書けるわけですね。
まずは担当者を決めましょう
中堅企業以上なら「監査部門」や「セキュリティ担当者」がいるのは当然ですが、そうでは無い会社の方が多いのではないでしょうか?新卒の子でも、技術に明るくない人でも構わないのです。まずは経営者がセキュリティへの意識を高く持ち(これがハードル高いケースもありますが)、担当者を決め、日々の業務に加えて「セキュリティに関するものはなんだろう」と考えて、文章に起こしていくことが大事なのです。これは時間のかかる作業です。1ヶ月や2ヶ月では出来上がらないものです。
可能であればチームを組みましょう
ここでは、ISMSの考え方が参考になります。担当者が考えた・見つけたセキュリティに関する事案を、他の人にレビューしてもらいましょう。そうして議論を深めていくことで、新たな発見が生まれるものです。
現状を資料に起こしましょう
これは大変な作業です。数ヶ月かかるものだと考えて下さい。例を挙げます。
- 自社の事業は何をしていますか
- どんなセキュリティへの取り組みを行っていますか
- セキュリティへの体制づくりはありますか
- 第三者認証は取得していますか、予定はありますか
- どのような教育体制がありますか
- 監査はしていますか
- どんな建物、部屋で業務を行っていますか
- その建物、部屋の防犯対策はありますか
- ネットワークはどのように構成されていますか
- ネットワークは安全ですか
- ネットワークへの定期的なテストや監査はしていますか
- どのようなSaaSを使っていますか、また評価していますか
これは一例です。書き始めると分かるのですが、どんどん細分化されていきます。それら全てを書面に起こすのが重要です。
問題点を洗い出して対策する
対策について、これらの多くはコストがかかる話です。都度、総務部門や経営者の判断が必要になるでしょう。ここで重要なのは、「目標はここだ」と決めることです。どれだけコストがかかろうとも、高い目標を持ちましょう。最終的な目標を決めることで、やらなければならない対策の優先順位を決めることが出来ます。そして1歩ずつ階段を上るイメージです。完璧なシステムなどありません。もしホワイトペーパーが「公開するに値しない」ものだとしても、日々更新し、「公開できるレベル」まで達成させるのです。絶対にやるという覚悟、社内での認識あわせをしましょう。
文章をまとめる
第三者が読みやすいようにします。ホワイトペーパーは、社内の人間にも影響を与える資料となります。新人教育に持って来いです。誰もが読みやすい資料となるように配慮して、記述していくことが重要です。またこれは、外注しても良い内容です。執筆が得意な人や組織に依頼するのも手です。この場合は、ITに明るい会社にお願いする方がより良い物になります。cloudpackの場合は、AWSにも精通している「運用設計ラボ合同会社」の波田野さんに文章まとめをお願いしました。
社内でレビューする
複数の人間でレビューしましょう。足りない点や、分かりづらい点などが浮き彫りになります。どうしてもボリュームがそこそこになりますから、社内レビューは何人でも何回でも行って損はありません。
可能であれば第三者にレビューしてもらう
誤字脱字のチェックはもちろんですが、社外の人に確認して頂くのは大変意味のある行為です。社内でどんなに複数の人間がレビューしても、分からなかった点や伝わらない点があるものです。そしてレビューを依頼する際には、どんな目的で作成されたホワイトペーパーなのか、何をレビューして欲しいのかをきちんと伝えましょう。cloudpackの場合は、AWSやトレンドマイクロ、それ以外にも複数の機関にレビューして頂きました。社内で何度も確認したのにも関わらず、指摘頂くポイントがあり、非常に有効でした。
公開するのであれば、関係各社に通知しましょう
もしホワイトペーパー内に他社が関係する物があるとすれば、事前に連絡を入れておいた方が無難です。
晴れて公開、そして更新を続けましょう
セキュリティは日々進化しています。攻撃方法も多種多様です。1度公開したからといって満足せず、当初決めた「最高の目標」に向かって書き直していきましょう。自社の事業も変化するかもしれません、規模も変化するかもしれません。その都度書き直して、実状にそう形に仕上げ続けましょう。
ざっくりですが以上です
どうでしたしょうか。大変だなぁと思いましたか? ISMSを取得されていない場合、まずはこれにチャレンジするのもいいかもしれません。最近はクレジットカードを取り扱わないけれどもPCIDSSを取得する会社も多くなっています。こういった第三者認証を組み合わせることで、より良いセキュリティホワイトペーパーになると思いますので、「セキュリティに対しての会社の意識」を高めるという意味でも、チャレンジする価値はあると思います。
