サイバーセキュリティポリシーの策定方法と、情報セキュリティポリシーとの違い

IT・情報セキュリティ
名和 利男 株式会社サイバーディフェンス研究所

 最近、企業の規模を問わず、深刻な被害を伴うサイバー攻撃が発生し、政府機関等からサイバーセキュリティ強化が求められています。これを受けて、当社ではセキュリティポリシーを強化することになりましたが、どのようなことに留意すべきでしょうか。

 ISMS(情報セキュリティマネジメントシステム)などにおける「情報セキュリティ」は、情報の機密性、完全性および可用性の維持を目的として、第三者から提供された基準に準拠することでした。一方、「サイバーセキュリティ」は、コンピュータ、サーバー、モバイルデバイス、電子システム、ネットワーク、およびデータを悪意のある攻撃(意図的行為)から守るための実践です。

 このような違いを受け入れて、当事者が深く関与しながらセキュリティポリシーを策定することが非常に重要です。

解説

目次

  1. サイバーセキュリティポリシーを策定すべき理由
  2. サイバーセキュリティポリシー策定の主体者と基本プロセス
  3. サイバーセキュリティポリシー策定時に陥りがちな落とし穴
  4. おわりに

サイバーセキュリティポリシーを策定すべき理由

 従来、情報セキュリティの強化策として、ISMS(情報セキュリティマネジメントシステム)を取得する企業が多く見られました。これは、組織内での「情報」の取り扱いについて、機密性、完全性、可用性を一定の水準で確保するための仕組みが整っていることを認証するものです。主な取得目的は、情報セキュリティのリスクを適切に管理しているという信頼(心証)を利害関係者に与えることにあります。

 しかし、この認証基準は、急変するサイバー脅威に適合しているとは言い難いものです。たとえ準拠努力を積み重ねたとしても、残念ながら、高度化・巧妙化が加速しているサイバー攻撃の発生を許す余地は拡大し得ます。現に、相当数のISMS取得企業が、高度なサイバー攻撃により深刻な被害を受けています。

 ただしこれは、従来からの情報セキュリティの取り組みを否定するわけではありません。高度なサイバー攻撃の発生が増加傾向にありますが、それ以上に増加しているのは、以前から存在している、悪意のある個人・サイバー犯罪グループが行う多種多様なサイバー攻撃、内部関係者による意図的および偶発的な不正行為などです。これらは、既存の情報セキュリティの取り組みをしっかり行うことで有効に対応することができます。

 従来からの情報セキュリティの取り組みを前提としたうえで、最近、規模に関係なくあらゆる企業に対して高度なサイバー攻撃が発生していることを受けて、取り扱うすべての情報・データとテクノロジーインフラを防御するためのサイバーセキュリティポリシーを新たに策定する必要が出てきています。

 ただし、このサイバーセキュリティポリシー策定の基準は、第三者が提供できるものではありません。標準的な基準を定める情報セキュリティポリシーと違い、それぞれの組織が直面しているサイバー脅威や、管理・利用する情報・データ、テクノロジーインフラによって行うべき実践がまったく異なるためです。

 また、サイバーセキュリティポリシーの策定にあたっては、前提として「情報の収集、保存、管理をテクノロジーに依存すればするほど、深刻なセキュリティ侵害に対して脆弱になる」という事実を受け入れることが重要となります。

サイバーセキュリティポリシー策定の主体者と基本プロセス

 サイバーセキュリティポリシーの策定において、情報セキュリティポリシーと大きく異なるのは、その「主体者」です。
 従前のIT導入は、業務効率の向上を目的として始まることが大半であったため、情報セキュリティポリシーの策定は、情報システム部門が深く関与しながら、個人情報保護部門が担当することが多かったと思います。

 一方、最近、さまざまな業種において推進されようとしているDX(デジタルトランスフォーメーション)と言われる積極的なIT利活用は、経営革新、収益水準・生産性の向上を期待したものです。したがって、深く関与する対象は、企画、事業、研究開発、生産(製造)、販売など、会社のプロフィットに直接的に貢献する部門となります。そのため、サイバーセキュリティポリシーは、それらの部門と緊密に連携でき、かつ影響を与えることが可能な位置づけにある部⾨が担当することになります。筆者が関与したなかで、一定の成果を上げた事例のほとんどは、経営層、特にCISO 1 直下に設置した「すべての部門を横断するセキュリティチーム(例:CSIRTやリスク管理チーム)」が担当していました

 サイバーセキュリティポリシー策定の基本プロセスは、組織内の全部門に強い指示を与えることが可能な経営層あるいはその一部の権限移譲を受けたセキュリティチームが、サイバーリスクに特化したアセスメントを実施することから始めます。

 しかし、現実的には、経営層におけるサイバー脅威の理解不足などにより、このアセスメントをせずにポリシーを策定せざるを得ないことがあります。その場合、ほぼすべての組織に共通する重要事項を、次のようなプロセスで策定することが考えられます(このプロセスは、日本と同様なサイバー攻撃を経験しているオーストラリアの政府機関が民間企業向けに提供しているもの 2 をベースにしています)。

  1. パスワード要件の設定
    • 強力なパスフレーズの要件
    • 適切な保存方法
    • 変更の頻度
    • 異なるアカウントに共通するパスフレーズを設定させない
    • など
  2. メールセキュリティ対策の概要検討
    • 業務メールアドレスの共有
    • 添付ファイルの開封について信頼できる連絡先や企業からのメールのみに限定
    • 迷惑メール・スパム・詐欺メールのブロック
    • 不審メールの特定・削除・報告
    • など
  3. 機密データの取り扱い方法の検討
    • 機密データの共有方法
    • 機密データを含むファイルの保存方法・識別方法・破棄方法
    • など
  4. テクノロジーの取扱いに関するルール設定
    • オフィス外でのモバイルデバイス(ノートPCやスマートフォンなど)の使用方法・不使用時における保存(携帯)方法
    • 紛失時の報告方法
    • ソフトウェア更新やセキュリティパッチの適用方法
    • 不使用時における電源断のタイミング、画面ロックの必要性
    • USBメモリにおける保存データの保護方法
    • 外部デバイスの使用制限と接続時のウィルススキャン
    • など
  5. ソーシャルメディアやインターネットへのアクセスの基準設定
    • ソーシャルメディアで共有するビジネス情報
    • 業務メールアカウントの署名
    • 業務時間においてソーシャルメディアやインターネットへアクセスするためのガイドライン
    • など
  6. サイバーセキュリティインシデントへの対応準備
    • サイバーセキュリティインシデントが発生した場合における影響の最小化および早期復旧を目的とした対処方法・取るべきアクション
    • 関係者の役割と責任
    • など
  7. ポリシーの更新
    • サイバーセキュリティポリシーの定期的な策定・レビュー・維持
    • など

サイバーセキュリティポリシー策定時に陥りがちな落とし穴

 筆者は支援を行うなかで、日本の企業がサイバーセキュテリィポリシーの策定において、陥りがちな失敗や誤謬をいくつも目の当たりにしてきました。代表的なものは、次の3つです。

  • サイバーセキュリティポリシーのドラフト策定を「情報システム部門」に一任してしまったことで、いくつかのビジネス領域の部門との対話や連携が実現できなかった。そのため、過不足の事項を含む実効性の低いドラフトになり、不必要な衝突や対立が生じてしまった。その後、合意形成(確定)までに何度も調整を繰り返したが、結果として中途半端なものとなった。

  • サイバーセキュリティポリシーの策定にあたり、ビジネス領域の部門との対話や調整を十分に実施せずに、強いトップダウンで策定を推進したため、「必要に応じて~」や「適切に~」などの表現を多用した記述となった。そのため、部門ごとに独自の指針や基準を策定する必要が生じ、部門間でのばらつきが大きくなり、運用上のセキュリティリスクが拡大した。

  • サイバーセキュリティポリシー策定の主体者が、高度なサイバー攻撃の手口に明るくなく、従来の情報セキュリティの考え方を過度に踏襲してしまったため、情報の機密性、完全性および可用性に偏重したものになってしまった。このため、既存の情報セキュリティポリシーとのダブルスタンダードが発生し、テクノロジーインフラに対する防御が手薄なままとなり、策定における有効性を確認できなかった。

おわりに

 新型コロナ感染症の影響を受け、働き方が大きく変化したことで、従来の情報セキュリティポリシーでは網羅できない領域が増えています。これまでISMSの取得により自組織のセキュリティ体制について周囲から信頼を得ていたにもかかわらず、たった一度のセキュリティインシデントへの対応失敗で、契約先どころか潜在的な顧客までも失うことになりかねません。

 今後、ビジネス領域の部門がDXを進展させることで、管理・監視すべきテクノロジーインフラは拡大する一方、経営層やビジネス領域の部門の理解不足に起因する監視能力の低下は加速しています。この状態が継続するということは、高度なサイバー攻撃による被害の発生を約束しているようなものです。

 本稿を通じて、サイバーセキュリティポリシーの策定は、「基準準拠」ではなく、「防衛戦略に繋がる実践確立」であるという理解が広がることを願います。


  1. CISO:Chief Information Security Officer 最高情報セキュリティ責任者 ↩︎

  2. 大企業および重要インフラ事業者向け:Australian Cyber Security Centre「Large organisations & infrastructure
    中堅および中小企業向け:Australian Cyber Security Centre「Small & medium businesses」 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する