利害関係者が納得する「PDCA」と「対策の開示」とは｜サイバーセキュリティ.com

公開日：2017.02.14　｜　最終更新日：2020.09.18

利害関係者が納得する「PDCA」と「対策の開示」とは

無料メルマガ登録でプレゼント！書籍「セキュリティ対策の基礎知識」

サイバーセキュリティ経営ガイドライン対応の進め方第4回は、指示4の「サイバーセキュリティ対策フレームワーク構築（PDCA）と対策の開示」について解説していきます。

「PDCA」に関しては、仕事の進め方の基本でもありますし、説明は不要かと思います。

計画（PLAN）を立て
実行（DO）し
確認（CHECK）をして
次の行動（ACT）に進む

上記一連の流れですね。これは日常業務でも行っていますし、プロセス自体は周知のことかと思います。特に問題は無いでしょう。

ここでの問題は「対策の開示」とある部分です。どのように開示して行けば良いのでしょうか。

この記事の目次

1 意識すべきは「利害関係者の納得」
2 「PDCA」と「対策の開示」が同じ項目にある意味
3 一般メディアの認識の低さ
4 まとめ

意識すべきは「利害関係者の納得」

ここで前回の考え方を思い出してみましょう。「利害関係者の納得」です。

▷継続的成長を目的とした「サイバーセキュリティ経営ガイドライン対応」の進め方
▷守るべき情報を見極めるための「リスク分析」とは

なぜ自社のサイバーセキュリティ対策を開示するのかと言えば、利害関係者に「この会社はサイバーセキュリティ対策をしてる」「安心して任せられる」と思ってもらうためです。

「セキュリティ対策はしています。どんな対策かは言えません。」では、仕事を依頼したり、情報を預ける立場からすれば、安心して任せられませんよね。だから、対策状況を“ある程度”開示する必要があるのです。

ただし、“誰にどこまで開示するか”については、しっかり検討してください。

「公開」と「開示」は違います。必要の無いことまで第三者に公開してしまうと、攻撃者へのヒントになりかねません。

「PDCA」と「対策の開示」が同じ項目にある意味

さて、「PDCA」と「対策の開示」をどのように対応するかだけであれば、そこまで難しくはないでしょう。

しかし、この2つがなぜ同一項目の中に入っているかについても意識しておく必要があります。これこそが「利害関係者の納得」に絡んでくるからです。

どちらも利害関係者の納得の為に必要な情報

「サイバーセキュリティ経営ガイドライン」のこの項目の対策例には、このような一文が入っています。

新たなサイバーセキュリティリスクの発見等により、追加的に対応が必要な場合には、速やかに対処方針の修正を検討する。

正に先週、CISOであれば、この内容に即した行動を執らねばならない事例が発生しました。WordPressの脆弱性問題です。

▷150万件超のサイト改ざん被害、WordPressはアップデートが必須

あまりにも大きなセキュリティホールだったため、IPAやJPCERT等、各所に記載がありますから詳細の説明は避けますが、shellshock以来の影響対象数になるのではないかと個人的には考えています。
※shellshockをご存じない方は確認してください。これもまだまだ潜在的なリスクのある機器が残っているかも知れません。

具体的に行うべき指示とは

先週、少なくともCISOが指示すべきだったことは以下の通りです。

（1）自社WEBサイトの安全性確認

自社webサイトは脆弱性対象か確認する。
脆弱性対象とすれば、早急に対応し、対応済であることを開示する。
改ざんの試みがなかったか、ログをチェックする。
（可能であれば下請会社等のWEBサイトにも問題がないか確認し、必要に応じ連絡をする）

（2）対策方針修正の必要性を検討

今まで開示していた対策の内容で、この種の脆弱性を対処することになってい
たか確認する。
対策開示内容に不足があれば追加する。

これらが出来ていて初めて「利害関係者の納得」が得られるのです。皆さんの会社では大丈夫だったでしょうか。

一般メディアの認識の低さ

今回WordPressの騒動で露呈したのは、「マスコミのサイバーセキュリティ意識の低さ」です。

丸川珠代大臣のWEBサイト改ざんについては各社とも報道しましたが、その他項目に関してはまるで報道されていません。

なぜ起きたのか
既に改ざんされているWEBサイトはどの程度あるのか
改ざんの危険性のあるWEBサイトがどの程度あるのか

IPA等が緊急で対応が必要だと訴えていたにも関わらず、既に先週末の段階で国内でも数百件の改ざん報告が為されていたにも関わらず、です。

このように、サイバーセキュリティ対策において、マスコミが騒いでから行動するようでは遅いのです。

CISOは専門組織から情報を速やかに収集し、マスコミが騒ぐころには「ウチはもう対応済んでいます。対策方針もこう定めました。」と言えるようにしておく必要があります。

まとめ

PDCAの形だけを整えるのは簡単です。ですが、必要な対策を定めること、その対策を見直すことは、随時速やかに実施する必要があるのです。

次回は、今までの感覚からパラダイムシフトを要求されるかも知れない、指示5「系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握」について説明します。

無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」