情報セキュリティ対策を確実に実施するために
情報セキュリティ対策を確実に実施するためには、2つの方法があります。
まずは、情報を取り扱うシステムにセキュリティを組み込む方法です。しかしながら、すでに導入しているシステムにセキュリティをアドオンするのは多大なコストがかかります。また、システムを作り直すのも同様です。
そこで、もう一つの方法として手順を明確にして従業員に対策を実施してもらう方法があります。システムの構築に関するコストはかかりませんが、従業員の負担は大きくなります。
このガイドラインでは、中小企業がコストをかけずに実施できる方法として後者を選択しています。その手順が以下のとおりです。
- 情報資産管理台帳を作成する
- リスク値の算定
- 情報セキュリティ対策を決定
- 情報セキュリティポリシーを策定
この手順そのものが非常にコストがかかるものですが、このガイドラインでは手順を示すことによって、中小企業の担当者でも実行できるように提案しています。また、必要な様式などについても概略を示していますので、自社にあったものを作成してすぐに実行することができます。
よく改善されているが、言葉がわかりにくいところも
このように、本ガイドラインはサイバーセキュリティ経営ガイドラインに従って構成が見直されているだけではなく、IPAが提供している中小企業向けのツールなどを活用できるよう、より具体性の高いものに変更されました。
特に良い改善だと考えるのが、機密性、完全性、可用性の考え方です。今までは情報資産の重要性についてばかり考えられていましたが、今回からは事故が起きたときの影響をベースに考えるようになっています。
情報セキュリティリスクは「事故の発生の可能性」「影響」「リスク受容レベル」によって検討します。本ガイドラインではまだ重要度という言葉が残っていますが、解説を読んでみると「影響の度合い」のことを示しているようですので、内容としては問題ありません。
事故の発生の可能性についても、被害発生可能性という記載になっていますが、これも実際には被害のことは全く関係なく、事故の発生頻度についてのみ示しているようです。被害の発生しない事故もあるということについて考えて、リスクアセスメントをする必要があるでしょう。
「情報セキュリティ対策を決定」という手順についても、実際の情報セキュリティマネジメントにおいては誤解を生むかもしれません。本ガイドラインにも記載されているとおり、対策は決定するのではなく、選択するものです。
情報セキュリティ対策は、リスク受容、低減、移転、回避の4つの視点からいくつもの対策を検討し、その中でよりいいものを選択します。低減できないから移転するというようにふるいにかけていくようなものではなく、それぞれについて検討しつつ、本来の目的である情報およびシステムの活用、説明責任などを果たせるようなものを選んでいくことが、費用対効果の高い情報セキュリティ対策といえます。
PDCAサイクルの考え方
サイバーセキュリティ経営ガイドラインでは、情報セキュリティマネジメントのフレームワークとしてPDCAサイクルを実践することを推奨していました。本ガイドラインでも同様に扱っています。本ガイドラインではPDCAを以下のように設定しています。
- Plan:情報セキュリティ対策の計画立案または見直し
- Do:情報セキュリティ対策の実践
- Check:監査・点検による活動の有効性確認と経営者による必要な改善箇所の決定
- Act:改善の実施
残念ながらこれは正確ではありません。Actは経営者による改善と考えたほうが、現在の情報セキュリティマネジメント、ガバナンスにおいては有効です。Checkの項目に書かれている「経営者による必要な改善箇所の決定」がActであると言えるでしょう。
PDCAサイクルが注目されるまでは、Plan Do Seeで計画を実行していました。PDSのときには経営者による関与がなかったために、PDCAサイクルが推奨され、経営者への情報集約がひとつの要素になりました。これによって、経営者は外部に対して適切な情報発信ができるだけではなく、内部における改善活動も効果的に実施できるようになったのです。
内部と外部の整合を取るためのPDCAサイクルの活用
中小企業であっても、サイバーセキュリティガイドラインとともに本ガイドラインともに推奨されているPDCAサイクルを理解し、実行に移すことが必要です。情報セキュリティ対策を適切に実行していることの説明、リソースの確保、IT活用の推進、そして経営者の責任をまっとうするために活用していただきたいと考えます。
情報セキュリティに関するガイドラインはあくまでガイドラインであり、これらを参考に実行しやすいセキュリティ対策を選択できるようにしましょう。
- 河野省二
- 株式会社ディアイティ セキュリティサービス事業部 副事業部長 経済産業省 SaaS 利用者の観点からのセキュリティ要件検討会委員、情報セキュリティガバナンス委員会 ベンチマークWG委員など、 情報セキュリティ関連のさまざまな基準を策定した経験を持つ。