無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

2016年12月8に発表された「サイバーセキュリティ経営ガイドラインVer1.1（改訂版）」及び解説書への注意喚起第三回目の本日は、改訂版で示す「経営マネジメント」や「ISMS」に対する考え方の間違いについて取り上げたいと思います。

基本的な用語の理解や、要求事項に関して誤解があっては、サイバーセキュリティ対策のみならず全体のマネジメントにも影響を与えかねませんので注意が必要です。

CISO等に求められること

改訂版25ページに、CISO等に求められることが記載されています。

最初の「現場と経営層を繋ぐ通訳になること」というのは良いのですが、最後の一文が問題です。

事業部門等の現場から手間が掛かる等の理由で反発を招かないように、現場の立場で支援するというスタンスが求められます。

CISOとはChief Information Security Officerです。Officer（役員）が“現場の立場で支援しいたらダメですよね。

もちろん、現場の立場を“理解する”ことは必要です。それでも、現場の負担があったとしても、やらなければならないことは敢然と実施するのがOfficerたるCISOの職務です。

現場の立場を優先するのであれば、CISOを置く必要はありません。現場の責任者の権限を強めれば良いことです。ですが、その体制だと現場の効率が優先され、重大なセキュリティホールが野放しになる可能性も孕むのです。

現場の状況を理解したうえで、それでも必要とあらば毅然とした行動が取れること。それがCISO等に求められることです。

ISMSの正しい定義

続いて、ISMS（ISO27001）の説明の間違いがありますので、指摘しておきます。

改訂版29ページの「（1）情報セキュリティマネジメントシステムとの関係」にこんな一文があります。

サイバーセキュリティの対策は、ISMSで想定している1年や半年のPDCAサイクルでは対応できない。

ISMSにはこの様な想定はありません。ISMSを理解していないコンサルタントや審査員が想定しているだけではないでしょうか。

かつて2005年版では「少なくとも年1回」という文言がありました。ISMSでは十年以上前から年1回でも厳しいと取れるように書いてあったのです。現在の版ではこの文言すら無くなっています。

さらに、附属書A管理目的及び管理策のA18.2.1情報セキュリティの独立したレビューでは、下記の記述があります。

あらかじめ定めた間隔で、又は重大な変化が生じた場合に、独立したレビューを実施しなければならない。

重大な変化があれば、その都度レビューしてPDCAサイクル見直しなさいと推奨しているのです。

今のサイバーセキュリティのスピードで、本当に1年や半年に一度しかレビューを行っていないのなら、それはISMSの有効性に疑義があるレベルなのです。ですから、ISMSはそもそも1年や半年に一度しかPDCAサイクルが回らないなどということは想定しておりません。

これは、48ページの「フレームワーク（PDCA）のサイクル」においても同様です。

内部監査と外部監査について

最後に、51ページ「内部監査と外部監査」に関して問題のある表現を指摘しておきます。こちらでは下記の一文が記載されています。

ISMSの審査時には外部監査を受けることが義務付けられています。

これも、間違いです。その様な義務はありません。

もちろん、外部監査は推奨します。やれるならやった方が良い。ですが、外部監査はお金のかかることです。また、監査方法によっては別のリスクが発生します。企業の業種や規模によっては、「やる必要がない」「やらない方が良い」というケースが生じます。

ISMSは企業規模を問わず使えるフレームワークです。“外部監査を受けないと審査が受けられない”ような表現を使われると、「大手企業しか取れないのか」との誤解を受けかねません。それは、ISMSの目的と精神に著しく反することですので、一コンサルタント、一審査員としても、厳しく指摘しておきたいところです。

まとめ

全3回にわたって「サイバーセキュリティ経営ガイドライン解説書」の問題のある部分を指摘させていただきました。

第一回▷サイバーセキュリティ経営ガイドラインVer1.1（解説書）について
第二回▷セキュリティポリシーの３段階について｜サイバーセキュリティ経営ガイドラインVer1.1

しかしこれでは“どうすれば正しくサイバーセキュリティ経営が進められるのか”が益々混乱してしまうかもしれません。

そこで、次回からは「ISMS観点から見たサイバーセキュリティ経営ガイドラインの望ましい進め方」について解説をしていきたいと思います。