企業が達成すべきセキュリティ事項をまとめたものをセキュリティドキュメントと言います。セキュリティドキュメントには、ポリシーをトップとして5つの文章が存在します。トップダウンで目標を具体化することで、統一された考えを組織に伝達しましょう。
ポリシーとは、企業で実現したいことを明確にする文章です。ポリシーは基本的には変更されることはなく、変更する場合でも企業の全体の方針に関わるため慎重に検討されます。違う言い方をすると、ポリシーとはガバナンスを文書化したものであり、最終的なゴールを記載したものです。例えば、「機密データは暗号化して保護します。」はポリシーになります。
そして、ポリシーの一つ下の階層の文章がスタンダードになります。スタンダードではポリシーを達成する上で必要な要素を具体的にします。ポリシーとはいわば「やりたいこと」であり、それを実現するにはいくつものやり方があります。そのやり方の方向性を示すのがスタンダードになります。何のスタンダードを採用するかをスコーピングと呼び、どのように組織に取り込んでいくかをテーラリングと呼びます。スタンダードで、関連した法律や業界での標準と照らしながら、組織にマッチした目標の達成の仕方を形作るわけです。「機密データは暗号化して保護します。」というポリシーに対して、「保存中のデータにはディスク全体の暗号化を要求し、転送中のデータにはTLSを要求することで、機密データを保護します。」はスタンダードになります。
プロシージャとは、目標を達成するにあたってどうやって達成するかをステップバイステップで記述したものです。アカウント登録手順、ドキュメント作成・破棄手順書、インシデント対応手順など、誰でもわかるような手順書を心がけましょう。このように目標から作業を階層的に洗い出していきます。
最低組織ではこの3つが必要です。残りの2つは必要に応じて準備しておきます。ベースラインはスタンダードを何に沿って決めたのかという根拠となります。たとえば、政府勧告、国際規格、製品/システムの評価基準があれば、スタンダードを決める根拠となりえます。日本だと、「他社企業でもやってる?」という理由がよく使われますね。
最後にガイドラインとは、ポリシーを実現するためのサポート文章になります。スタンダードでは決めきる必要はないけれども、実現可能性を担保するため作成しておくと良いでしょう。システム構成などは実現可能性を説明する資料になりえます。
また、セキュリティポリシーの実施を確実にするためには、組織の戦略、使命、目的に合致させなければなりません。組織には色々な性別、年代、国籍、信条の人がいて、そういった中で、一人が会社でこうしていきたいですと言っても大抵の場合、個人的な勝手な思想だと解釈されて無視されます。特にセキュリティ強化したいという発言だと、大抵新しい縛りを作る話になりがちなのでより体験すると思います。
そこで、会社の目的を達成するためにやるべきであるという大義名分とともに、十分な議論を重ねた結果を文章化する場が必要になってきます。これをビジネスケースと言います。すべてのビジネスケースが採用されるわけではありませんが、プロジェクトの開始のため、予算の確保のためによく作られます。これらのビジネスケースから今後本当にやるべきことを取捨選択することで、限られた予算や時間の中で最も効率的な活動を目指していくわけです。もちろん、昨今はさまざまな経営形態があるため、伝統的なビジネスケース手法から脱却するような手順がとられるかもしれませんが、いくつものパターンを出しておき、取捨選択する過程自体がなくなるわけではありませんから、ビジネスケースに相当する場が設けられているでしょう。
セキュリティポリシーを実現するための意思決定の流れというのは基本的には上から下に流れていきます。上位にあるセキュリティポリシーに従って、中間管理職の方々がどうやったら実現できるのかを考えます。このようなトップダウン方式で採用を進めることもありますが、逆の概念としてボトムアップ方式もあります。ボトムアップ方式では、現場の方々が現場で培った生きた知識を元に意思決定を下していきます。現場主義でかっこいいですが、上層部がちゃんと管理していない状態との違いを説明しにくくなるため、残念なことにほとんど採用されていません。そのため、現場からの声を拾い上げつつも、一般的にはトップダウンによる承認によって決定されます。そこで、上級管理職の承認が重要な要素として機能していなければなりませんので、上級管理職の承認がなんとなく形だけのものになってしまい結局実施されないというのは、かなり見逃せない事態です。そのため、ポリシー策定チームの責任としても経営幹部を十分に教育し、ポリシーで規定されたセキュリティ対策が実施された後も残るリスクや責任を経営幹部に理解させる必要があります。偉くなっても人は人なので、組織がなまけないように管理する必要があるわけです。
セキュリティポリシーがまさにそうですが、組織でセキュリティを考えるときセキュリティの具体的な要件について明文化し、その要件によって実装を考えることになるでしょう。セキュリティポリシー、スタンダード、ガイドライン、プロシージャを文書化し実施することで、信頼性の高いセキュリティ体制を構築することができます。また、セキュリティポリシーの文書は、企業自体に被害があったときに、経営幹部が十分な注意を払ったことを証明するものとしても使われます。社会的に許してくれるかは置いといて、これだけ真っ当な判断をし、真っ当な努力をしたんですということの一つの証明になります。
もちろん、世の中には様々な経営戦略があるため、すべての企業がこうであるとも、こうするべきということでもありません。ただ、合理的な判断によって事業継続を得られる組織であれば、きっと参考になるはずです。