10月12日まで、「サイバーセキュリティ経営ガイドラインVer2.0」に対するパブリックコメントの募集がひっそりと行われていました。
〈参照〉
サイバーセキュリティ経営ガイドラインの改定案に関するパブリックコメント/e-GOV
サイバーセキュリティ対策を「経営責任」として位置づけた、このガイドライン。このサイトをご覧の方は、ご存じでしょうが、わかりにくく使い勝手が悪かったこともあり、まだ一般には今一つ知られておりません。
今回の改訂で、このガイドランがどのように変わる予定なのか、触れて行きたいと思います。
使い勝手が良くなっている!
一読して、納得できる表現が増えた印象があります。作成委員会のメンバーが変わったことが影響しているかも知れません。個人情報保護法以前から情報セキュリティ経営を啓蒙して来られた、稲垣隆一先生、丸山満彦社長、またベネッセの情報漏洩事件の現場を見てこられた丸山司郎社長等が加わっております。長い間、情報セキュリティ経営の「現場」を良くしようとしてきた方たちが加わったことが、功を奏したのでしょう。
経営者の逃げ道や言い訳を防ぐための表現の変更が見受けられ、特に重要なものにはアンダーラインが引かれています。責任者が対応すべき重要十項目も、構築の手順を追った順番になっています。
また付属資料がかなり使えるものになっています。特に付録C「インシデント発生時に原因調査等を行う際に、組織内で整理しておくべき事項」等は、是非有事の際すぐに参照できるようにしておきたい資料です。
強い表現となった「概要」
では、まず「概要」の注目点から見てみます。
Ver1.1までは、原則の説明が複数の文だったりしてダラダラした印象だったのですが、重要な部分はアンダーライン付きになりました。例えば、下記の部分です。
セキュリティ投資は必要不可欠かつ経営者としての責務である。
つまり、”セキュリティ対策に経営者は金払え、これは重要なことなのだよ”ということです。
この一文、Ver1.1から入ってきたのですが、その後の文章に、どこまでやるかとか、経営者が対策を推進とかの文章が入って来たので今一つ緊迫感がありませんでした。Ver2.0では、アンダーラインで強調され、”セキュリティ投資しない経営者なんか失格なんだよ”と言わんばかりの強い表現になっています。
具体性が増した「重要10項目」
サイバーセキュリティ経営の3原則は、ほぼ変わりません。解説の強調部分にアンダーラインが引かれたくらいです。
重要10項目は、網羅するところは変わらないのですが、順番が変わりました。社内での手順を確立してから、社外に協力を求めるという、実務上の構築手順に即した順番に変わっています。また対策例なども追加等がありました。ここで注目すべき点に2つほど触れて行きます。
情報開示の重要性
「(7)インシデント発生時の緊急対応体制の整備」では、情報開示の重要性が加わっています。社内だけで取り組んでいると顧客や取引先にも被害が及ぶことがある、ということですね。
たとえば、ID・パスワードの使い回しを狙ったリストアタック。これなどは「誰のID・パスワードが流出したか確認してから発表を…」と考えて時間を費やしていると、その間に被害が出てしまい、被害者から「なんで黙ってたんだ」と指摘され大問題に発展することだってあり得ます。
被害が想定されるなら、わかっている範囲で公表しておく必要があります。
業務委託の責任境界と委託先選定
「(9)サプライチェーンのビジネスパートナーや委託先等を含めたサイバーセキュリティ対策の実施及び状況把握」 は大きく説明が追加されました。
まず、委託業務。”よくわからないから委託先に任せた”的なやり方を戒めています。自分たちで対応する部分と委託する部分の責任境界、これが不明確だと対策漏れが生じると警告しています。
実際、筆者が企業の監査に行っても、この傾向は強く見られます。委託先側は「ここまでがウチの責任ね」とちゃんと契約書に書いてあるんですが、委託元である企業が責任境界を理解しないまま契約しているので、対策漏れがよくあるのです。
また、委託先選定もシビアに書いてあります。ISMSを取ってるか、SecurityActionに取り組んでるか、そもそも経営状況大丈夫なのか、等を加味して委託先を選べと言っています。経営が危ない会社では、セキュリティ投資ができないですし、待遇の悪い社員が不満を持って情報を盗んで売り払うかも知れません。委託先の信用度チェックをしっかりとする必要があります。
実用性がアップした「付録」
今回、一番の注目はここです。実務で使える付録。これはパブリックコメント後の正式版発表前でもすぐに使いたいところです。
付録Aサイバーセキュリティ経営チェックシート
チェック項目をNIST(アメリカ国立標準技術研究所)のサイバーセキュリティフレームワークにリンクさせました。これにより、以前のものに比べ、網羅性が格段にアップしました。
付録Bサイバーセキュリティ対策に関する参考情報
NISTのSP800-171等、海外のものや日本シーサート協議会等民間のものも含め、個人的にも推奨したい参考になるガイドラインが網羅されています。
付録Cインシデント発生時に原因調査等を行う際に、組織内で整理しておくべき事項
最初に触れた付録ですね。漏洩事件等の発生時に、何を確認すべきか、何をなっておくべきかを網羅した表です。
情報セキュリティインシデントは、いつ発生するかわかりません。その時に右往左往せず速やかに対策を行うために、この資料はとても有用です。いますぐにプリントアウトして持っておきたい資料です。
その他
付録D、Eは前回と同様ですね。特に触れておく点はありません。
最後に
以上、まだパブリックコメントが終了した段階ですが、サイバーセキュリティ経営ガイドラインVer2.0は格段に良くなっています。正式版が発表されたらすぐに入手して、自社のサイバーセキュリティ対策に活かしましょう。
〈参照〉
サイバーセキュリティ経営ガイドラインの改定案に関するパブリックコメント/e-GOV