セキュリティポリシーの3段階について|サイバーセキュリティ経営ガイドラインVer1.1

[更新]
セキュリティポリシーの3段階について|サイバーセキュリティ経営ガイドラインVer1.1



2016年12月8日に発表された「サイバーセキュリティ経営ガイドライン」の改訂版及び解説書について、誤解を生じやすい点を解説していきます。

今回は、本解説書で最も厄介な「セキュリティポリシー」の考え方についてです。

セキュリティポリシーの3段階

今回発表された解説書では、“一言でセキュリティポリシーと言っても、それぞれ段階があるんだよ”という意味の記載がなされています。

  1. 基本方針(ポリシー)
  2. 対策基準(スタンダード)
  3. 実施手順(プロシージャ)

具体的には上記三段階に分けて表現されているのですが、注意点として下記の表記が挙げられます。

  • 基本方針だけでもセキュリティポリシーと呼ぶこともある
  • 基本方針と対策基準の二つでセキュリティポリシーと呼ぶこともある

これでは、「セキュリティポリシー」の表記に対し“どの範囲のセキュリティポリシーのことを言っているの?”といった混乱が起こります。

さらに、17ページから始まる「1-2セキュリティポリシーに周知」の中では、セキュリティーポリシーの三段階(基本方針・対策基準・実施手順)を一括りで扱っており、さらに混乱を招く恐れがあるのです。

段階に応じたセキュリティポリシーとは

実施手順の公開は危険

セキュリティポリシーを株主やビジネスパートナー等に広く宣言することで自組織のブランド価値向上に役立てることもできます。

サイバーセキュリティ経営ガイドラインVer1.1/18ページより引用

ここで言うセキュリティポリシーはどの段階を指すのでしょうか?

もし「実施手順」まで公開されてしまったら、攻撃者に対して“自覚していないセキュリティホール”を見せることになってしまいますし、ブランド力は低下してしまうでしょう。

その為、ここで言うセキュリティポリシーは「基本方針」までを指します。それ以上を公開することは非常に危険です。
※ISMSでは、「Top level policy」という言い方もする。

対策基準は他社にとって判断材料

取引先の重要情報を扱う場合、その取引先から重要情報の取り扱いに関する規定や管理体制及びセキュリティポリシーの提示を求められる場合もあります。

サイバーセキュリティ経営ガイドラインVer1.1/17ページより引用

「重要情報の取り扱いに関する規定や管理体制」も本来セキュリティポリシーなのですが、なぜか別の扱いとされています。ではここで言うセキュリティポリシーはどの段階なのでしょうか。

答えは、「基本方針」と「対策基準」です。
※ISMSでは「Policies for information security」という言い方もする。

あまり詳細な内容を出してしまうことは、自らのリスクを上げることに繋がります。とは言え、取引先からは当然“自社と同等の管理レベル”を要求されますから、その判断材料として「対策基準」を開示しなければならないでしょう。

情報開示はリスク

外資系金融業や世界的製造業等では、「実施手順」の開示を要求するセキュリティレベルの高い企業もありますので、その都度状況判断が必要となります。開示して一緒に仕事をするか、開示せずにリスクを避けるかは企業の判断に委ねられるのです。

また、情報開示の注意点として「要求されたから全て公開する」ことが当たり前にならないようにしましょう。

情報開示を決定したことにより、普段の業務を監査され特許技術を侵害されたとして訴訟に発展しているケースもあります。
※第一審では特許無効判決ではあるが、真似をしたことは認定

まとめ

“情報を守る”ということは、「預かった情報」だけでなく「自社の情報」も守るということです。しかし、セキュリティポリシーの定義が曖昧なままでは、“公開した方が良い”と思える表現により、取り返しのつかない失敗を誘引することにも成りかねないのです。

「解説書」については、その他の問題点について次回引き続き解説をさせていただきます。

ゼロから始めるセキュリティ対策!
セキュリティチェック25
img_pdf

「セキュリティ対策」はインターネットを利用する全ての企業にとって必須

大企業であればお金をかけてしっかりとした対策に取り組めますが、
そんな予算もない中小企業の方々は、「セキュリティ対策が必要だとわかっていても何をすれば良いかわからない、、、」という方も多いはず。

そんな中小企業の方々、
特に50名以下の企業の社長、IT担当者、総務部担当者の方々は絶対に知っておきたい!自分でできるセキュリティ対策がチェックできるA4サイズ1枚にまとめた25項目のセキュリティチェックシートです。

メルマガ登録で無料ダウンロード!
無料ダウンロードはコチラ
星野靖裕

金融機関にて、融資管理・情報システム開発に従事。経営・現場双方の視点を備え、効果的なマネジメントシステムの構築を指導。人員一桁から数千人の一部上場企業まで幅広くコンサルティングを行う。
  
>プロフィール詳細はこちら

こちらのページもご覧ください。

セキュリティ診断サービス

あなたの会社のWEBサイトは大丈夫?社内ネットワークも心配...
サイバー攻撃されて問題になる前にしっかりチェック!

標的型メール訓練サービス

近年増え続ける標的型攻撃の対策はできてますか?社長だけが大丈夫でも社員全員の意識を上げないと、メールが来たら1/3も...

セキュリティ人材の育成に

今後不足すると言われているセキュリティ人材の確保を早めに対応しませんか?たった2日で学べる集中コース!

情報セキュリティ監査

150,000円のセキュリティ監査!専属担当者の採用は難しいけど、セキュリティが心配...という方必見です。

メルマガ会員登録募集中

中小企業向けセキュリティチェックシートプレゼント!その他特典多数!詳細はこちらをクリック!

「重要インフラにおける情報セキュリティ確保」対策指針第5版について

IPA調査報告から見える、日本の「ITサプライチェーン管理」の実態

成立となるか?「サイバーセキュリティ基本法改正案」について

作者:   法令・計画等