無料メルマガ登録でプレゼント！書籍「セキュリティ対策の基礎知識」

2016年12月8日に発表された「サイバーセキュリティ経営ガイドライン」の改訂版及び解説書について、誤解を生じやすい点を解説していきます。

今回は、本解説書で最も厄介な「セキュリティポリシー」の考え方についてです。

相談無料情報セキュリティポリシー策定サービス

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録・ダウンロードは
こちらから

セキュリティポリシーの３段階

今回発表された解説書では、“一言でセキュリティポリシーと言っても、それぞれ段階があるんだよ”という意味の記載がなされています。

1. 基本方針（ポリシー）
2. 対策基準（スタンダード）
3. 実施手順（プロシージャ）

具体的には上記三段階に分けて表現されているのですが、注意点として下記の表記が挙げられます。

• 基本方針だけでもセキュリティポリシーと呼ぶこともある
• 基本方針と対策基準の二つでセキュリティポリシーと呼ぶこともある

これでは、「セキュリティポリシー」の表記に対し“どの範囲のセキュリティポリシーのことを言っているの？”といった混乱が起こります。

さらに、17ページから始まる「1-2セキュリティポリシーに周知」の中では、セキュリティーポリシーの三段階（基本方針・対策基準・実施手順）を一括りで扱っており、さらに混乱を招く恐れがあるのです。

段階に応じたセキュリティポリシーとは

実施手順の公開は危険

セキュリティポリシーを株主やビジネスパートナー等に広く宣言することで自組織のブランド価値向上に役立てることもできます。

サイバーセキュリティ経営ガイドラインVer1.1／18ページより引用

ここで言うセキュリティポリシーはどの段階を指すのでしょうか？

もし「実施手順」まで公開されてしまったら、攻撃者に対して“自覚していないセキュリティホール”を見せることになってしまいますし、ブランド力は低下してしまうでしょう。

その為、ここで言うセキュリティポリシーは「基本方針」までを指します。それ以上を公開することは非常に危険です。
※ISMSでは、「Top level policy」という言い方もする。

対策基準は他社にとって判断材料

取引先の重要情報を扱う場合、その取引先から重要情報の取り扱いに関する規定や管理体制及びセキュリティポリシーの提示を求められる場合もあります。

サイバーセキュリティ経営ガイドラインVer1.1／17ページより引用

「重要情報の取り扱いに関する規定や管理体制」も本来セキュリティポリシーなのですが、なぜか別の扱いとされています。ではここで言うセキュリティポリシーはどの段階なのでしょうか。

答えは、「基本方針」と「対策基準」です。
※ISMSでは「Policies for information security」という言い方もする。

あまり詳細な内容を出してしまうことは、自らのリスクを上げることに繋がります。とは言え、取引先からは当然“自社と同等の管理レベル”を要求されますから、その判断材料として「対策基準」を開示しなければならないでしょう。

情報開示はリスク

外資系金融業や世界的製造業等では、「実施手順」の開示を要求するセキュリティレベルの高い企業もありますので、その都度状況判断が必要となります。開示して一緒に仕事をするか、開示せずにリスクを避けるかは企業の判断に委ねられるのです。

また、情報開示の注意点として「要求されたから全て公開する」ことが当たり前にならないようにしましょう。

情報開示を決定したことにより、普段の業務を監査され特許技術を侵害されたとして訴訟に発展しているケースもあります。
※第一審では特許無効判決ではあるが、真似をしたことは認定

まとめ

“情報を守る”ということは、「預かった情報」だけでなく「自社の情報」も守るということです。しかし、セキュリティポリシーの定義が曖昧なままでは、“公開した方が良い”と思える表現により、取り返しのつかない失敗を誘引することにも成りかねないのです。

「解説書」については、その他の問題点について次回引き続き解説をさせていただきます。

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録・ダウンロードは
こちらから