はじめに
情報セキュリティのための管理策の中で組織的対策として分類されている「関係当局との連絡」について、主要なガイドラインを参考に自分なりに解釈した内容をなるべく具体的に残しておきます。
「関係当局との連絡」とは?
先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。
ISO/IEC 27002:2022 5.5 Contact with authorities から引用
Purpose:
To ensure appropriate flow of information takes place with respect to information security between the organization and relevant legal, regulatory and supervisory authorities.
管理目的:
組織と関連する法務、規制、監督当局との間の情報セキュリティに関して、適切な情報の流れが行われるようにするため。
Control:
The organization should establish and maintain contact with relevant authorities.
管理策:
組織は、関係当局との連絡体制を確立し、維持することが望ましい。
※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正
上記から、求められているであろうことが「いつ、誰が、どこに連絡するか等を予め定め*1、インシデント発生等の実際に連絡が必要となった時に時期を失せず報告できるように体制を整え、それを維持する」と解釈できます。 次項で具体的な連絡先をあげてみます。
具体的な実施例
主に可用性が損なわれるインシデント発生時の連絡先例
- 警察
不正侵入による設備等の盗難、破壊行為
要員が外部持ち出しした設備等の紛失 - 消防
災害(火事) - 監督官庁
社会的に広く影響を及ぼす障害(金融機関、通信、電力等の大規模障害) - 電力会社
電力の供給停止 - 水道事業者
水の供給停止*2 - 通信事業者
通信障害の発生 - 保守請負業者
システムハードウェア障害
主に機密性が損なわれるインシデント発生時の連絡先例
セキュリティ全般に係るインシデント発生時の連絡先例
- JPCERT/CC(JPCERTコーディネーションセンター)
インシデント対応に係る相談 - IPA(独立行政法人情報処理推進機構)
マルウェア、不正アクセス等の届出、相談、情報提供 - 認証審査機関
届出(ISMS、Pマーク等の認証を取得している場合) - コンサルタント
インシデント対応に係る相談 - マスコミ
会見等が必要な場合
まとめ
関係当局に限らず、様々な事象、調査、情報共有の場面を想定し、その発生時に必要なコミュニケーションの内容(いつ、誰が、どこと)を策定し、適切な体制を予め構築しておくことが重要です。
また、事象の発生時等に実際にコミュニケーションをとった場合、その有効性を検証し、改善すべき点を手順等に反映することも忘れず実施したいものです。
参考資料
本稿は、以下のガイドラインを参考にしています。より詳細な情報が欲しい、正確性を重視したい方は以下を参照して下さい。
ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations IR-6