セキュリティ管理のメモ帳

セキュリティに関する備忘録

「マネジメントの責任」について

ISO27002管理策の考察

はじめに

 情報セキュリティのための管理策の中で組織的対策として分類されている「マネジメントの責任」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。

「マネジメントの責任」とは?

 先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。

ISO/IEC 27002:2022 5.4 Management responsibilities から引用

Purpose:
To ensure management understand their role in information security and undertake actions aiming to ensure all personnel are aware of and fulfil their information security responsibilities.
管理目的:
マネジメントが情報セキュリティにおける自らの役割を理解し、全要員が情報セキュリティの責任を認識し、果たすことを目的とした活動を行うため。

Control:
Management should require all personnel to apply information security in accordance with the established information security policy, topic-specific policies and procedures of the organization.
管理策:
マネジメントは、組織が確立した情報セキュリティ方針、トピック固有の個別方針、及び手順に従い情報セキュリティを適用することを全ての要員に求めることが望ましい。

※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

 上記から、求められているであろうことが「統制された情報セキュリティ活動のために、マネジメントには方針の目的から具体的な手順までを組織内に浸透させる責任がある」と理解でき、その内容からセキュリティガバナンスに関連することがわかります。

マネジメントについて

 この管理策の英文は、”Management responsibilities”です。それを理解するためには、マネジメント(Management)がどのような役割を想定しているのか把握する必要があります。
 ISMSに関連する用語からは、マネジメントを説明している部分を見つけることができなかったため、それに近いトップマネジメントがISO/IEC 27000:2018でどのように定義されているかを見てみます。

ISO/IEC 27000:2018より引用

3.75 top management
person or group of people who directs and controls an organization (3.50) at the highest level
Note 1 to entry: Top management has the power to delegate authority and provide resources within the organization.
Note 2 to entry: If the scope of the management system (3.41) covers only part of an organization, then top management refers to those who direct and control that part of the organization.
Note 3 to entry: Top management is sometimes called executive management and can include Chief Executive Officers, Chief Financial Officers, Chief Information Officers, and similar roles.

3.75 トップマネジメント(top management)
最高位で組織(3.50)を指揮し,管理する個人又は人々の集まり。
注記1 トップマネジメントは,組織内で,権限を委譲し,資源を提供する力をもっている。
注記2 マネジメントシステム(3.41)の適用範囲が組織の一部だけの場合,トップマネジメントとは,組織内のその一部を指揮し,管理する人をいう。
注記3 トップマネジメントは,ときに業務執行幹部(executive management)と呼ばれることもあり,最高経営責任者最高財務責任者,最高情報責任者及び類似の役職が含まれることがある。
※)英語部分は原文から、日本語部分は、JIS Q 27000:2019から引用

 同様に、経営陣の定義も確認します。

ISO/IEC 27000:2018より引用

3.24 governing body
person or group of people who are accountable for the performance (3.52) and conformity of the organization (3.50)
Note 1 to entry: The governing body can, in some jurisdictions, be a board of directors.

3.24 経営陣(governing body)
組織のパフォーマンス及び適合性について説明責任を負う個人又はグループ。
注記1 経営陣は,法域によっては,取締役会でもあり得る。
※)英語部分は原文から、日本語部分は、JIS Q 27000:2019から引用

 上記にも記載されている通り、法域や組織の形態・規模などにより異なる面もありますが、マネジメントには経営陣とトップマネジメントが含まれ、セキュリティガバナンス上の責任が下図のような関係にあると考えるのが妥当ではないかと思います。

図 組織の役割とセキュリティガバナンス上の責任

注1)以前のISO規格には、「トップマネジメントには、経営陣と業務執行幹部が含まれる」という趣旨の記述*1があり、関係性が明確になっていましたが、最新版(ISO/IEC 27014:2020)からは消えており、本稿を書いている時点では、それに代わる定義を見つけることができなかったため推測に基づきます

具体的な実施例

他の管理策との関連性

 類似の管理策のブログ「情報セキュリティの役割及び責任」内で各役割の責任について例示していますが、その中でマネジメント(取締役会と最高情報セキュリティ責任者)にはセキュリティガバナンスに関連する責任(AccountableとResponsible)を割り当てており、前項で解釈した内容「方針の目的から具体的な手順までを組織内に浸透させる」が含まれています。(一致する部分を青字にしました)

  • セキュリティリスクの方向付け、アセスメント、残留リスクの受容、モニタリング
  • セキュリティマネジメントシステムの整備と管理プロセスの導入
  • セキュリティの管理目的、方向付け、決定事項の伝達
  • 組織構造の定義・導入と役割・責任の確立
  • ターゲットスキルと能力の定義
  • セキュリティ方針と手順の定義・伝達
  • 方針及びその実施状況と関連法令・規制、契約上・業務上の要求事項との適合性に関する保証

 また、上記各項目の内容は、管理策「情報セキュリティのための方針」で解釈した、方針は”方向性”と”支持”を示すものとの考え方とも一致します。

注2)前述の通り、この管理策の英文は、”Management responsibilities”です。海外のガイドラインでは、明確に”Accountability”と”Responsibility”が使い分けられているため、「ここでも”Accountable”が割り当てられている役割を含めるべきではないのでは?」と考えましたが、近年のISMS(ISO 27000:2018及びISO27001:2013)では、Accountabilityは責任追跡性の意味で使用されており、他のガイドラインで定義されている説明責任とは若干意味合いが異なると理解しています。
ISMS上の責任を明確にすべきほとんどの箇所では、Responsibilityが使われており、Accountabilityとの使い分けは意識されていないと解釈をし、マネジメントの責任として”Accountability”と”Responsibility”の両方を含めることとしました

具体的な実施例

 ここまでを踏まえ、マネジメントが実施すべきと思われる具体例を考えてみます。

方向性について:
 情報セキュリティ方針及びその方向性を示す個別方針並びに管理策、手順等(以下「組織内ルール」と呼びます)を整備し、組織の要員による理解を促し、遵守を確実にする

  • 要員への情報セキュリティ方針及び組織内ルール遵守義務の通告
  • 情報セキュリティに関連する各要員の役割及び責任の認識について、一定の水準を達成する(6.3 Information security awareness, education and training 情報セキュリティの意識向上,教育及び訓練 参照)
  • 組織の情報セキュリティ方針及び適切な仕事のやり方を含め、雇用、契約、又は合意の条件に従う

支持について:
 組織の要員が情報セキュリティ方針及び組織内ルールを確実に実施できるように支持する

  • 専門的なスキルが必要な役割に対する専門教育の提供と適切な技能及び資格の保持
  • 組織のセキュリティ管理及び管理策の確実な実施のためのリソース(時間の猶予含む)の提供

その他

 ここまで、要員の認識不足に起因するセキュリティインシデントを防止するためにマネジメントが実施すべきことをメインに考えました。
 それ以外にも、内部不正を想定した対応についてマネジメント(経営陣)の責任が求められている例がありますので少し紹介します。
 IPA発行の「組織における内部不正防止ガイドライン」では、経営者が、内部不正対策を自らの責任で行うという強い意識を持ち、以下を行うこととされています。

IPA 組織における内部不正防止ガイドライン 第5版 から引用

(1) 経営者の責任の明確化
①内部不正対策は経営者の責任であり、経営者は基本となる方針を組織内外に示す「基本方針」を策定し、役職者に周知徹底しなければならない。
②経営者は、「基本方針」に基づき対策の実施のためのリソースが確保されるよう、必要な決定、指示を行わなければならない。

 また、組織内ルール違反などのセキュリティが損なわれる事象を見つけた際の匿名通報制度のような通報者を保護するための手段の確保もマネジメントの関与なくして実現は難しいと思います。

まとめ

 CVE-0と呼ばれるような、要員など組織内部の人の脆弱性やSecurity Awarenessと呼べれる意識向上の重要性については、外部脅威が高度化している現在でも言われ続けています。
 上記の一つの理由として、外部脅威が対象組織に侵入や攻撃しようとするとそれなりの準備(コストと時間)が必要です。一方、組織の環境*2によっては要員による認識不足や故意による不正のような内部脅威の方が発生する確率が高いことがあげられます。
 マネジメントは、方針をベースとした社内ルールを整備し、教育・トレーニングを通じ、要員に浸透させることを自らの責任であるとの認識が必要です。

参考資料

 本稿は、以下のガイドラインを参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。

  • IPA 組織における内部不正防止ガイドライン 第5版

  • ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

  • NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations

脚注

*1:ISO/IEC 27014:2013(JIS Q 27014:2015)の3.2 経営陣(governing body)の用語定義には、「注記 経営陣は,トップマネジメントの一部を形成する。役割を明確にするために,この規格では,トップマネジメントの中の二つの集団,すなわち,経営陣と業務執行幹部とを区別する。」との記述がありました。

*2:例えば、確認・監視プロセスがない、方針・ルールがない、違反を犯したときの罰則がないなど