セキュリティポリシーの3段階について|サイバーセキュリティ経営ガイドラインVer1.1

この記事は約 3 分で読めます。


2016年12月8日に発表された「サイバーセキュリティ経営ガイドライン」の改訂版及び解説書について、誤解を生じやすい点を解説していきます。

今回は、本解説書で最も厄介な「セキュリティポリシー」の考え方についてです。

セキュリティポリシーの3段階

今回発表された解説書では、“一言でセキュリティポリシーと言っても、それぞれ段階があるんだよ”という意味の記載がなされています。

  1. 基本方針(ポリシー)
  2. 対策基準(スタンダード)
  3. 実施手順(プロシージャ)

具体的には上記三段階に分けて表現されているのですが、注意点として下記の表記が挙げられます。

  • 基本方針だけでもセキュリティポリシーと呼ぶこともある
  • 基本方針と対策基準の二つでセキュリティポリシーと呼ぶこともある

これでは、「セキュリティポリシー」の表記に対し“どの範囲のセキュリティポリシーのことを言っているの?”といった混乱が起こります。

さらに、17ページから始まる「1-2セキュリティポリシーに周知」の中では、セキュリティーポリシーの三段階(基本方針・対策基準・実施手順)を一括りで扱っており、さらに混乱を招く恐れがあるのです。

段階に応じたセキュリティポリシーとは

実施手順の公開は危険

セキュリティポリシーを株主やビジネスパートナー等に広く宣言することで自組織のブランド価値向上に役立てることもできます。

サイバーセキュリティ経営ガイドラインVer1.1/18ページより引用

ここで言うセキュリティポリシーはどの段階を指すのでしょうか?

もし「実施手順」まで公開されてしまったら、攻撃者に対して“自覚していないセキュリティホール”を見せることになってしまいますし、ブランド力は低下してしまうでしょう。

その為、ここで言うセキュリティポリシーは「基本方針」までを指します。それ以上を公開することは非常に危険です。
※ISMSでは、「Top level policy」という言い方もする。

対策基準は他社にとって判断材料

取引先の重要情報を扱う場合、その取引先から重要情報の取り扱いに関する規定や管理体制及びセキュリティポリシーの提示を求められる場合もあります。

サイバーセキュリティ経営ガイドラインVer1.1/17ページより引用

「重要情報の取り扱いに関する規定や管理体制」も本来セキュリティポリシーなのですが、なぜか別の扱いとされています。ではここで言うセキュリティポリシーはどの段階なのでしょうか。

答えは、「基本方針」と「対策基準」です。
※ISMSでは「Policies for information security」という言い方もする。

あまり詳細な内容を出してしまうことは、自らのリスクを上げることに繋がります。とは言え、取引先からは当然“自社と同等の管理レベル”を要求されますから、その判断材料として「対策基準」を開示しなければならないでしょう。

情報開示はリスク

外資系金融業や世界的製造業等では、「実施手順」の開示を要求するセキュリティレベルの高い企業もありますので、その都度状況判断が必要となります。開示して一緒に仕事をするか、開示せずにリスクを避けるかは企業の判断に委ねられるのです。

また、情報開示の注意点として「要求されたから全て公開する」ことが当たり前にならないようにしましょう。

情報開示を決定したことにより、普段の業務を監査され特許技術を侵害されたとして訴訟に発展しているケースもあります。
※第一審では特許無効判決ではあるが、真似をしたことは認定

まとめ

“情報を守る”ということは、「預かった情報」だけでなく「自社の情報」も守るということです。しかし、セキュリティポリシーの定義が曖昧なままでは、“公開した方が良い”と思える表現により、取り返しのつかない失敗を誘引することにも成りかねないのです。

「解説書」については、その他の問題点について次回引き続き解説をさせていただきます。

星野靖裕
金融機関にて、融資管理・情報システム開発に従事。 経営・現場双方の視点を備え、効果的なマネジメントシステムの構築を指導。人員一桁から数千人の一部上場企業まで幅広くコンサルティングを行う。 総合商社グループのIT部門のシステム監査責任者として、法務・ISMSの運用も経験。 ISMSの運用・コンサル・審査とすべてを実務として経験し、経営やシステム知識も持つ、情報セキュリティマネジメントシステムのスペシャリストとして活躍中。    >プロフィールはこちら

こちらのページもご覧ください。

メルマガ会員登録(無料PDFプレゼント)

メルマガ会員登録をしていただくと下記PDFもプレゼント!
0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策ハンドブック

企業における情報漏洩対策として重要な、セキュリティ対策のための知識として基本的な「まずは知っておくべき内容!」をピックアップし、約40ページのPDFに整理いたしました!

その具体的な内容は、


img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラから