セキュリティ管理の初版は「サービスサポート」より早く、1999年に出版されました。 「付録D 参考文献」から推測すると、当時のITILは「構成管理」や「ヘルプデスク」といった形で プロセスや機能ごとに一冊の本として流通していたようです。
日を追うごとに重要性が増しているセキュリティですが、サービスマネジメントと切り離して考える ことはできない課題です。この本では、セキュリティ管理の目的や役割、そして サービスサポートやサービスデリバリで定義されているITILの各プロセスとの関係について 説明しています。
セキュリティというと不正アクセス防止や情報漏えい対策など、情報の機密性に関するリスクへ の対応を思い浮かべますが、本来情報の価値を守ることであり、情報の価値を損なわせるあらゆる事象が 対象になります。
ですから、必要なときに情報にアクセスできないといった可用性に関する問題や、データに誤りが 多くて信用できないといった完全性に関する問題もセキュリティの責任領域です。
ITILでは、情報や情報システムの機密性、完全性、可用性をセキュリティ を構成する要素として捕らえ、これらの要素をビジネスが求めるレベルで確実に提供するための活動を セキュリティ管理と定義しています。
セキュリティ管理の活動は、個々に独立して存在のではなく日常業務に組み込まれるべきです。ですから、 サービスサポートやサービスデリバリの各プロセスも、組織のセキュリティ・ポリシーに従い、 セキュリティ管理を支えていく活動でなければなりません。第3章 ITILとセキュリティ管理 では、サービスマネジメントの各プロセスがセキュリティ管理とどのように連携するべきかが 述べられています。
第2章 情報セキュリティの基礎、および第4章 セキュリティの管理方法には、 セキュリティ管理で行われるべき6つのサブプロセス、すなわち、コントロール(Control)、 計画立案(Plan)、実行(Implement)、評価(Evaluate)、維持(Maintenance)、 報告(Report)における目標や活動が示されています。
この本の中で特に注目したいのは、第5章 セキュリティ管理導入のためのガイドラインです。 この章には、セキュリティ管理を実践するためのベストプラクティスが示されています。最後に、 その中の一節を要約してご紹介します。
プロ意識に訴えることが重要である。技術は完璧ではない。最後は人の行動にかかっている。 セキュリティは、できるだけ日常業務に組み込みなさい。スタッフはセキュリティが業務を 妨害するものではなく、推進するものであることに気づくはずである。
【注】本書の日本語訳版はありません。
