Scribble at 2024-04-15 16:24:55 Last modified: 2024-04-15 16:39:29
Thematic analysis of the interview data suggests that the security mindset can be conceptualized as consisting of three interconnected aspects—“monitoring” for potential security anomalies, “investigating” anomalies more deeply to identify security flaws, and “evaluating” the relevance of those flaws in a larger context.
ただいま、入社ガイダンスを作り直している。いちばん大きな理由は、弊社のようなプライバシーマークの認定事業者が準拠している JIS Q 15001 が最新版に改定されて、中身が形式的にも実質的にも大きく刷新されたからである。
JIS Q 15001 が最新版の2023年度版となって、産業規格(昔は「工業規格」と言った)のフォーマットが分野の区別なく国際基準に標準化されてゆくなかで、日本の独自規格であった 15001(ベースになっているのが、個人情報保護法であるため)も、従来の情報セキュリティの規格である 27000 シリーズに近くなってきた。更には日本の規格書の多くも、ISO/IEC で採用された high level structure を基本とする文書フォーマットに統一されつつある。こういう ISO/IEC と JIS との関係に加えて 27000 番台と 15001 との関係という二つの脈絡にあって、JIS Q 15001:2023 では文書フォーマットに high level structure が採用されたのに加えて、内容においても付属書の管理策が JIS Q 27002 の管理策と殆ど同じになった。
これは、或る意味では当然のことだろうと思うし、文句はないのだけれど、弊社に限って言えば非常に面倒臭い対応が必要となる。なぜなら、弊社は2019年まで 27000 番台に準拠する ISMS の認証も受けていて、これに加えて 15001 に準拠するプライバシーマークを認定されていたので、要するに社内規程に二つの規格を整合的に反映させるという施策をとってきた。もちろん、双方の規格が情報セキュリティなり情報管理のルールや方針として矛盾しているわけではないが、しかし個別に要求される管理策では違いが多かったために、弊社は原則として「緩い方の管理手法に合わせる」ような規程を採用してきた。正直、社員の殆どが情報セキュリティどころか IT リテラシーすら疑わしいネット・ベンチャーにおいて(ウェブ制作会社やネット・ベンチャーの社員は、別にウェブやインターネットについて素人よりも知っているわけではない。それは IT 企業や IT ベンチャーと混同しているからだ)、厳しい方の管理手法に合わせるなどということをやっても実効性がないし、かえってインチキをするような人のモチベーションを引き上げるだけだ。
そして、2019年に ISMS の認証を解除した。大してブランディングや売上に資するところがなかったからだ。正直、ネット・ベンチャーの場合はプライバシーマークだけでもよく、ISMS はレンタル・サーバ会社やクラウド・サービスの企業などの方が適しているだろう。ということで、ISMS の認証を受けるために採用していた管理策のうち、ただ単に認証を受けるためだけに採用していたような、言わば形式的な必要性で採用していただけの「ポーズ」に近いと言いうる管理策は、全て弊社の社内規程から取り外したわけである。たとえば、ISMS には従業員の「力量」を評価せよという規定がある。単に講習会を開いたり、定期的にテストするだけではなく、何かの訓練を行ったり、要するに知識と技能の両方から情報資産の運用能力を測れということだ。もちろん、やった方がいいわけだが、負担が大きすぎる。なので、これはプライバシーマークの要求事項ではないため、社内規程からは外したのである。
なお、この従業員の力量を測るという施策は、ISMS が CSR のような規格に影響されて組み込んできた考え方なのだが、日本では殆ど知られていない事情がある。弊社は TÜV Rheinland というドイツ系の審査会社に ISMS の認証監査を依頼していたので、ISO/IEC が何を想定して規格を作っているのかという事情も知る機会があった。その事情というのは、従業員の知識だけでなく現実的なスキルとしての技能の向上を ISMS や CSR がやたらと求めるのは、リスク管理の中に核戦争後の対応という大きな想定があるからなのである。特に、CSR は日本で言われているような、盲導犬を訓練する NGO に寄付金を出すだの、会社周辺で社員が同じハッピを着て路上を掃除するとか、そういう慈善事業や福祉のパフォーマンスなんてもののことではなく、戦争でインフラが破壊された場合の対策を事業所の周辺なり従業員の周辺で実施したり、そういう事態に備えるという意図がある。正直なところ、仮想敵国が三つも周囲を囲んでいる領土・領海において、これほどアメリカの核の傘を盲信して、本来の意味での CSR に手を付けないなどというのは、僕に言わせればインチキ右翼の「滅びの美学」だとか、マシンガンを構えた相手に木刀1本で突っ込んでいくヤクザ映画みたいなものだ・・・といったことを解説したり盛り込むつもりはないが、今回は入社ガイダンスの資料を刷新する予定だ。
それはそうと、情報セキュリティとか個人情報の保護という話をするときに、やはりいつも問題になるのは、通常の業務を担っているときに、情報セキュリティという特別な考え方とか観点とか注意力とかを働かせるのは難しいということである。ただ、僕は上に紹介している "security mindset" という話題で言及されているように、そんな特別な技能や能力ではないと思う。もちろん、人によって得手不得手はあるし、僕だって IPA の「官製天才」に比べたら凡庸な知識と才能と技術しかないのだろう。だが、問題はそういうことではない。これは経営や情報セキュリティ・マネジメントにおいては常識的な考え方なので、いちおう20年におよぶ経験を積んできた者として警句を言わせてもらえば、会社に天才がいても事故は起きうる。それどころか、会社の全員が天才でも事故は起きうるのだ。