はじめに
情報セキュリティのための管理策の中で組織的対策として分類されている「情報セキュリティのための方針」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。
「情報セキュリティのための方針」とは?
先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。
ISO/IEC 27002:2022 5.1 Policies for information security から引用
Purpose:
To ensure continuing suitability, adequacy, effectiveness of management direction and support for information security in accordance with business, legal, statutory, regulatory and contractual requirements.
管理目的:
事業、法律、法令、規制、契約上の要求事項に従い、情報セキュリティに対する経営陣の方向性及び支持の適切性、妥当性、有効性を継続的に確保するため 。
Control:
Information security policy and topic-specific policies should be defined, approved by management, published, communicated to and acknowledged by relevant personnel and relevant interested parties, and reviewed at planned intervals and if significant changes occur.
管理策:
情報セキュリティ方針及びトピック固有の個別方針を定め、マネジメント層が承認し、発行し、関連する要員及び関連する利害関係者に通知し、予め定めた間隔で、又は重大な変化が発生した場合にレビューすることが望ましい。
※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正
上記から、「様々な要求事項を考慮し定めた情報セキュリティ方針により経営陣の方向性他を示し、必要に応じレビューする」と要約できます。
では、実際に何をすれば良いのかを、”いつ”、”誰が”、”何を”定め、”誰に”、”どのように”示すのか?の観点で、次項で整頓し理解を深めていきたいと思います。
具体的な実施例
誰に示すのか?
この後の説明の段取りを考え、最初に、”誰に” 示すのか?を考えてみます。
誰をターゲットにしているかは、前項で引用した管理策本文に「関連する要員と関連する利害関係者」と記述されています。
より具体的に考えるために、各々の相手に示す意図(方針を示すことにより期待する効果)を推測してみます。
組織内の要員及び外部の利害関係者(委託先等の供給者)に示すことにより期待される効果:
情報セキュリティへの経営陣の取組に関する方向性を示すことにより、組織内の考え方を統一し、逸脱した行為を抑止する。
注)この場合、抽象的な表現になりがちな方針の言葉だけでは、受け手により解釈が異なってしまう可能性があるため、方針に基づき、かつ、具体的な内容を示す個別方針や規定、標準、手順等により補完されることが一般的です外部の利害関係者(顧客等の取引先)に示すことにより期待される効果:
方向性及び支持を表明することにより、「リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える。*1」
上記を情報セキュリティガバナンスフレームワーク上で表現すると、下図の赤矢印の部分がそれぞれ「組織内要員への方向付」、「外部利害関係者への報告」に相当します。
何を定めるのか?
管理目的と管理策に記載されている内容から、方針を定める場合に考慮すべき点が以下のようなものであることが理解できます。
- 情報セキュリティに対する方向性を示す
- 情報セキュリティに対する支持を示す
- 上記は、法令、規制、契約上、事業上の要求事項に基づく内容とする
また、前項で、組織内外に示すことにより期待できる効果がそれぞれ明らかになりましたので、これらを合わせ、経営陣が示すべき「方向性及び支持」の具体的な事柄とそれを方針として表現した例を以下に示します。
方向性を示す方針内容の例
情報セキュリティの基本原則を示す記載例:
情報セキュリティを経営及び事業における重要課題として認識しています 。情報セキュリティの目的を示す記載例:
お取引先からお預かりしたものを含め、保有している情報資産を様々な脅威から保護します。
事業継続を確実なものにし、損害を最小限にします。情報セキュリティの定義を示す記載例:
情報セキュリティを情報の機密性、完全性、及び可用性を維持することと定義します。情報セキュリティ上の役割及び責任を示す記載例:
情報セキュリティ委員会を設置し、その責任者として「最高情報セキュリティ責任者(CISO)」を置きます。情報セキュリティを継続的に改善する取り組みを示す記載例:
情報セキュリティ方針及びそれに基づく規定等の順守状況を維持するため、内部監査とその結果に基づく是正を行う体制を整備します。
定期的な第三者機関による情報セキュリティ監査を実施し、情報セキュリティ方針及びそれに基づく規定等を継続的に改善します。特に重要と位置づけ注力する管理策を示す記載例:
(脅威環境の変化に対する追随性等)
常に広範囲にわたる脅威の変化を捉え、適切な技術的対策を講じ、情報セキュリティを維持します。
情報セキュリティインシデント発生時には、迅速な緊急対策と共に、十分に真因を分析し必要な再発防止策を講じます。
支持に関連する方針内容の例
情報セキュリティリテラシーの向上を示す記載例:
要員等の情報資産に関わる全ての者にセキュリティ教育・訓練を徹底し、リテラシーを向上させます。
脅威等の組織内外の状況の変化に対応するため、教育・訓練の内容を適宜見直します。情報セキュリティ体制を示す記載例:
情報セキュリティインシデント発生時に、速やかに組織内外の関係者に報告できる体制を構築します。
組織内に設置するCIRT組織を活用し、社内外と密にコミュニケーションを取り、インシデント発生時には適切に対応します。業務委託先の管理体制強化を示す記載例:
業務委託時には、情報セキュリティに関連する要求事項を明らかにし委託先と合意を得ると共に、要求事項が適切に維持されていることを確認します。適切な資源管理:
必要な物理的、技術的なセキュリティ対策に対し、経営資源を投入し強化します。
法令、規制、契約上、事業上の要求事項の方針への反映について
方針に記載する内容は、コンプライアンス全般*2を考慮する必要があります。 以下にコンプライアンス要件の例を示します。
- 法令、規制上の要求事項:
情報セキュリティに関連する法令*3において求められている内容 - 契約上の要求事項:
取引先との基本契約や個別契約上のセキュリティに関連する要求事項 - 事業上の要求事項:
定款・会社案内などに記載されている組織の事業目的・使命に関連する内容
※)例えば、ライフライン(重要インフラ)と言われるようなエネルギー、通信、交通などの提供を使命としている組織では、顧客である個人の情報保護も重要なセキュリティ目的ではありますが、最優先されるべきは「サービス提供の可用性の確保」と思われるため、セキュリティ方針の前文などで事業継続に関する考え方を明確にし、組織内部への浸透と外部への表明を検討する必要があると考えます。
いつ定めるのか?
方針を定めるタイミングは情報セキュリティマネジメント活動(導入時)の初期段階での実施が一般的です。また、定めた後も組織の状況の変化に対応する内容に改定する必要があります。
一般的には、定期的(例えば、組織の経営方針等の内部状況が変わりやすい年度替わりの時期、情報セキュリティマネジメント活動(PDCA)の周期等)、及び特定の事象(例えば、情報セキュリティ目的など組織戦略の見直しが必要となる事象)の発生に基づき、方針が組織内外の現状に相応しい(適切性、妥当性、有効性等)内容であるかという観点で見直しを行い、必要に応じ改定します*4。
以下に、方針の見直しのきっかけとなり得る変化の例を示します。
- 組織の事業戦略の変化:
事業拡大・縮小(新規事業への参入・撤退、M&Aの実施)、事業所の移転 - 法令、規制、契約内容の変化:
関連法令の改定、取引先からのセキュリティ要求事項の変化 - 情報セキュリティリスクの変化:
定期、又は事象発生都度のリスクアセスメントの結果 - 情報セキュリティの脅威環境の変化:
他組織でのインシデント発生状況、セキュリティベンダー等による脅威予測 - 情報セキュリティ事象及びインシデント発生:
組織内の事象、インシデントの発生 - 前年度の情報セキュリティマネジメント活動の結果:
経営陣からの指示、内部監査結果
誰が定めるのか?
管理策に記載の通り、マネジメント層が承認し発行します。また、改定時にも同様にマネジメント層による承認が必要になります。
サイバーセキュリティ経営ガイドラインと支援ツール(METI/経済産業省) Ver 2.0 には、以下の記述があり、経営者による積極的な関与を求めています。
サイバーセキュリティ経営ガイドライン Ver2.0 から引用
指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 サイバーセキュリティリスクを経営リスクの一つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定させる。
なお、方針の策定、文書化、及び周知を経営陣が自ら実施することは稀で、担当に委任するケースが多いと思います。
そのような場合、策定~周知の各プロセスを管理する担当者を(特に個別方針の場合、トピック固有の技術的適性と適切な権限に基づき)予め定めることにより確実な実施が期待できます。
どのように示すのか?
方針を示すための手段は、目的に応じた内容にする必要があります。
例えば、外部の利害関係者に対し最新版の方針をいつでも示せるようにしたい場合、自社Webサイトへの掲載が考えられます。
他方、組織内へ周知する場合、教育の実施、壁への掲示、朝礼による周知、方針カードの携帯、社内ポータルへの掲載等、組織の規模、形態により様々な方法が考えられますし、皆に最新版のみを参照させたい場合は、特定の場所に保管されているものだけを正しいものとして、他の場所に保管されているもの(例えば、過去に複写し個人で保有しているもの、過去にダウンロードし個人PCに保管しているもの)は無効とするようなルールを細部にわたり考慮しなければなりません。
個別方針について
情報セキュリティ上の管理義務をより具体的に(主に組織内の要員に)示すことを目的に、必要に応じ、方針の下位にトピックに応じた個別方針を定め補完します。
各ガイドラインで触れられている個別方針の例を以下に示します。
ISO/IEC 27002:2022から抜粋:
- アクセス制御方針
- 暗号化と鍵管理
- バックアップ
- 技術的脆弱性管理
- セキュリティに配慮した開発 他
NIST SP800-53 Rev.5から抜粋:
上記の中でも、BtoCビジネスを営んでいる組織は「個人情報の取扱いおよび透明性」に関する方針(個人情報保護方針:プライバシーポリシー)を策定し、外部に公開することにより、顧客に対し安心感を与える効果があります。
まとめ
今回は情報セキュリティマネジメントの基本となる方針についてまとめてみました。
下記の参考資料等で方針のサンプルが用意されていたり、主だった企業のサイトでも公開されていますので、参考にすることにより比較的容易に策定できると思いますが、自組織の状況と整合した内容になっていることを確認することが必要です。
参考資料
本稿は、以下のガイドラインを参考にしています。より詳細な情報が欲しい、正確性を重視したい方は以下を参照して下さい。
経済産業省 情報セキュリティガバナンス導入ガイダンス
ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations
その他 参考資料
実際に方針の内容を考える際は以下のサイトが参考になると思います。
JNSA : 情報セキュリティポリシーサンプル改版
IPA : 中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
脚注
*1:ISO/IEC 27001:2013より引用 この一文を「ISMSの意図した成果」と表現することがあります。
*2:国内ではcomplianceを法令順守と訳すことが多いようですが、ここでは「法令及び規制」、「契約上の要求事項」、及び「事業上の要求事項」さらに「リスクを許容可能な範囲に維持するために組織が定めたルール」を含めた組織を存続させるために順守すべき事項全てと定義します。
*3:サイバーセキュリティ基本法、個人情報保護法等が有名です。
詳しくは、関連法令等 - NISC等をご確認ください。
*4:方針の性質上、頻繁に改定するものでは無いとの考え方もあり、改定の頻度については判断が難しいところです。
