セキュリティ管理のメモ帳

セキュリティに関する備忘録

「プロジェクトマネジメントにおける情報セキュリティ」について

ISO27002管理策の考察

はじめに

 情報セキュリティのための管理策の中で組織的対策として分類されている「プロジェクトマネジメントにおける情報セキュリティ」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。

「プロジェクトマネジメントにおける情報セキュリティ」とは?

 先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。

ISO/IEC 27002:2022 5.8 Information security in project management から引用

Purpose:
To ensure information security risks related to projects and deliverables are effectively addressed in project management throughout the project life cycle.
管理目的:
プロジェクトと成果物に関連する情報セキュリティリスクが、プロジェクトのライフサイクルを通じてプロジェクトマネジメントで効果的に対処されるようにするため。

Control:
Information security should be integrated into project management.
管理策:
情報セキュリティは、プロジェクトに統合することが望ましい。

※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

 情報セキュリティをプロジェクトマネジメント活動に統合することにより、プロジェクトと成果物に係るセキュリティリスクを効果的に管理できるようです。
 具体的な実施例を考える前に、プロジェクトの定義を明らかにしておいた方が良さそうです。

プロジェクトの定義

 PMBOK*1で「プロジェクト」がどのように定義されているか確認します。

PMBOK 第6版から引用

独自のプロダクト、サービス、所産を創造するために実施する有期性のある業務

 さらに調べてみます。ISOからもプロジェクトマネジメントのガイダンス規格*2が発行されており、その中でプロジェクトと定常業務の違いについて述べられています。

JIS Q 21500:2018 (ISO 21500:2012)から引用

3.7 プロジェクトおよび定常業務
 プロジェクトマネジメントは、マネジメントの一般的な枠組みの内に収まる。プロジェクトマネジメントは、プロジェクトのもつ有期性と独自性によって、ほかのマネジメント分野とは異なる。
 組織は、既定の目的を達成するために作業を遂行する。一般に、この作業は、定常業務またはプロジェクトのいずれかに類別することができる。定常業務とプロジェクトとの主な違いは、次の点にある。
 ・定常業務は、およそ永続性のあるチームによって、継続的かつ反復的なプロセスを通じて遂行し、組織の維持に焦点を当てている。
 ・プロジェクトは、有期のチームで遂行し、反復的ではなく、独自の成果物を提供する。

 ここまでの結果を図にまとめると、プロジェクトと定常業務の違いを以下のように表せます。

定常業務とプロジェクト

 定常業務とプロジェクトの違いについて大まかに理解できました。

具体的な実施例

 ここからは、プロジェクトマネジメントと情報セキュリティの関連性についてより具体的に考えたいと思います。
 前項の考察により、プロジェクトの特徴は「独自の成果物を創造することが目的」、「プロジェクト業務・組織は有期」であることがわかりました。
 他方、情報セキュリティマネジメントは、ISMS(ISO 27001)をはじめ多くのガイドラインで「PDCAサイクルなどを用いた継続的な改善」を特徴としており定常業務を対象としています。また、互いに継続的な改善を目的としていることから親和性も高く導入のしやすさに結びつきます。
 上記相違点を踏まえ、情報セキュリティマネジメントの適用範囲から各プロジェクトの活動が漏れる可能性、特徴や組織構造の違いを意識した個別方針や管理策の明確化が必要と思われます。

個別方針で考慮すべき事項

 通常、プロジェクトマネジメントにはリスクマネジメント機能が含まれているため、その要素としてセキュリティも含め、プロジェクトのライフサイクル全体を通じ定期的にアセスメントし、対応されているケースがあります。
 上記とは異なり、定常業務を維持するために導入している情報セキュリティマネジメントシステムの適用範囲にプロジェクトを含め管理するケースもあります。
 このようにプロジェクトマネジメントにおける情報セキュリティの取り扱いについては様々なケースが考えられますので、組織の方針により明確に規定し、プロジェクトのセキュリティが蔑ろにされることが無いよう配慮することが大事です。
 個別方針を規定する際、以下について考慮することにより活動を効果的にすることができると思います。

  • プロジェクト内のセキュリティマネジメント組織(役割と責任)のあり方:

 組織内の情報セキュリティ統治機構とプロジェクト組織との関係など

  • 内外とのリスクコミュニケーションのあり方:

 組織内の情報セキュリティ統治機構とのコミュニケーション方法や統治機構によるフォロー内容など

  • プロジェクト内で特定されたリスクの対応:

 プロジェクトの有機性の特徴に起因する、有効性のモニタリングや改善が継続的にできない可能性、それに対する補完方法など

  • プロジェクト完了時のセキュリティの引継ぎ:

 成果が定常業務に引き継がれる際に、リスクコミュニケーションなどにより必要な情報が引き継がれることを確実にするなど

  • プロジェクトへのセキュリティマネジメントの統合方法:

 初期フェーズでセキュリティ要件(例えば、システムを構築するプロジェクトのケースでは、「アプリケーションのセキュリティ要件(8.26)」や「知的財産権を遵守するための要求事項(5.32)」など)を特定し、菅理を統合することにより、効果的・効率的な推進を可能な状態にするなど*3

プロジェクトに関連する管理策の例

 プロジェクト独自で、情報セキュリティマネジメントを行う場合、対象プロジェクトの特徴を理解し、関連する管理策を特定し、プロジェクト全体にわたりリスクマネジメントに統合し管理することが必要になります。
 以下に、システム開発プロジェクトを想定した関連管理策の例を示します。(システム開発を外部委託するケース(青字)を含む)

  • 5.2 Information security roles and responsibilities 情報セキュリティの役割及び責任
  • 5.16 Identity management ID管理
  • 5.18 Access rights アクセス権
  • 5.19 Information security in supplier relationships 供給者関係における情報セキュリティ
  • 5.20 Addressing information security within supplier agreements 供給者との合意における情報セキュリティの取扱い
  • 5.21 Managing information security in the ICT supply chain ICTサプライチェーンにおける情報セキュリティの管理
  • 8.5 Secure authentication セキュリティに配慮した認証
  • 8.9 Configuration management 構成管理
  • 8.19 Installation of software on operational systems 運用システムに関わるソフトウェアの導入
  • 8.25 Secure development lifecycle セキュリティに配慮した開発ライフサイクル
  • 8.26 Application security requirements アプリケーションのセキュリティ要件
  • 8.27 Secure system architecture and engineering principles セキュリティに配慮したシステムアーキテクチャ及び構築の原則
  • 8.28 Secure coding セキュアコーディング
  • 8.29 Security testing in development and acceptance 開発及び受入れ時のセキュリティ試験
  • 8.30 Outsourced development 外部委託による開発
  • 8.31 Separation of development, test and production environments 開発、試験、及び本番環境の分離
  • 8.32 Change management 変更管理

まとめ

 今回は、「プロジェクトマネジメントにおける情報セキュリティ」で考慮すべき内容を考察しました。本文でも述べましたが、プロジェクトのセキュリティマネジメントが組織の管理対象から漏れることを避けなければならないこと、定常業務に移行する際にセキュリティマネジメントが確実に移行されることが重要だと思います。

参考資料

 本稿は、以下のガイドラインを参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。

  • PMI:Project Management Body Of Knowledge 第6版

  • ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

  • JIS Q 21500:2018 (ISO 21500:2012) Guidance on project management*4

脚注

*1:Project Management Body Of Knowledge:PMIから発行されているプロジェクトを効果的に管理するための標準、ベストプラティクス、手順など知識体系がまとめられている国際標準です。プロジェクトマネジメントのデファクトスタンダード的な存在です。

*2:ISO 21500:2012, Guidance on project management

*3:プロジェクトがある程度進んだ状況下での要件の追加は、手戻り作業の発生要因となり非効率です。

*4:本稿執筆時の最新版は”ISO 21500:2021 Project, programme and portfolio management — Context and concepts”ですが、未だ入手できていないため旧版を参考にしています