サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

セキュリティポリシーの3段階について|サイバーセキュリティ経営ガイドラインVer1.1



2016年12月8日に発表された「サイバーセキュリティ経営ガイドライン」の改訂版及び解説書について、誤解を生じやすい点を解説していきます。

今回は、本解説書で最も厄介な「セキュリティポリシー」の考え方についてです。

セキュリティポリシーの3段階

今回発表された解説書では、“一言でセキュリティポリシーと言っても、それぞれ段階があるんだよ”という意味の記載がなされています。

  1. 基本方針(ポリシー)
  2. 対策基準(スタンダード)
  3. 実施手順(プロシージャ)

具体的には上記三段階に分けて表現されているのですが、注意点として下記の表記が挙げられます。

  • 基本方針だけでもセキュリティポリシーと呼ぶこともある
  • 基本方針と対策基準の二つでセキュリティポリシーと呼ぶこともある

これでは、「セキュリティポリシー」の表記に対し“どの範囲のセキュリティポリシーのことを言っているの?”といった混乱が起こります。

さらに、17ページから始まる「1-2セキュリティポリシーに周知」の中では、セキュリティーポリシーの三段階(基本方針・対策基準・実施手順)を一括りで扱っており、さらに混乱を招く恐れがあるのです。

段階に応じたセキュリティポリシーとは

実施手順の公開は危険

セキュリティポリシーを株主やビジネスパートナー等に広く宣言することで自組織のブランド価値向上に役立てることもできます。

サイバーセキュリティ経営ガイドラインVer1.1/18ページより引用

ここで言うセキュリティポリシーはどの段階を指すのでしょうか?

もし「実施手順」まで公開されてしまったら、攻撃者に対して“自覚していないセキュリティホール”を見せることになってしまいますし、ブランド力は低下してしまうでしょう。

その為、ここで言うセキュリティポリシーは「基本方針」までを指します。それ以上を公開することは非常に危険です。
※ISMSでは、「Top level policy」という言い方もする。

対策基準は他社にとって判断材料

取引先の重要情報を扱う場合、その取引先から重要情報の取り扱いに関する規定や管理体制及びセキュリティポリシーの提示を求められる場合もあります。

サイバーセキュリティ経営ガイドラインVer1.1/17ページより引用

「重要情報の取り扱いに関する規定や管理体制」も本来セキュリティポリシーなのですが、なぜか別の扱いとされています。ではここで言うセキュリティポリシーはどの段階なのでしょうか。

答えは、「基本方針」と「対策基準」です。
※ISMSでは「Policies for information security」という言い方もする。

あまり詳細な内容を出してしまうことは、自らのリスクを上げることに繋がります。とは言え、取引先からは当然“自社と同等の管理レベル”を要求されますから、その判断材料として「対策基準」を開示しなければならないでしょう。

情報開示はリスク

外資系金融業や世界的製造業等では、「実施手順」の開示を要求するセキュリティレベルの高い企業もありますので、その都度状況判断が必要となります。開示して一緒に仕事をするか、開示せずにリスクを避けるかは企業の判断に委ねられるのです。

また、情報開示の注意点として「要求されたから全て公開する」ことが当たり前にならないようにしましょう。

情報開示を決定したことにより、普段の業務を監査され特許技術を侵害されたとして訴訟に発展しているケースもあります。
※第一審では特許無効判決ではあるが、真似をしたことは認定

まとめ

“情報を守る”ということは、「預かった情報」だけでなく「自社の情報」も守るということです。しかし、セキュリティポリシーの定義が曖昧なままでは、“公開した方が良い”と思える表現により、取り返しのつかない失敗を誘引することにも成りかねないのです。

「解説書」については、その他の問題点について次回引き続き解説をさせていただきます。

企業向けインフラエンジニア講座 個人向けエンジニア研修




書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。