【セキュリティポリシー策定のヒント】総務省ガイドラインを難しく見せている原因（１）

はじめに

当社のCIO補佐官業務サービスの中で、自治体のセキュリティポリシー策定支援をお引き受けすることが増えてきました。

その際、最初の打ち合わせで必ず出てくる課題があります。それは「組織上の役割分担や体制」です。

技術的な課題ではなく、既存の組織の中にセキュリティポリシーの運用をどのようにビルトインさせていくかが難しいようなのです。そして、この課題をなかなか解決できずに苦労する場面を多く見てきました。

そこで私の経験から「こうすればうまく整理できる」といったヒントのようなものを残して置きたいと思います。

なお、当社のプロキュアテックは、この課題を解決する仕組みを反映させてあります。

ポリシー上の役割について

CISOは誰を充てるべきか

CISOはセキュリティポリシーに基づく運用の中で、組織上の最終的な意思決定権を持つ人物（役職）を充てるべきです。

セキュリティインシデントをどの程度の危機管理事象と捉えるかにもよるのですが、市民や企業の財産権や人権を侵害する可能性があり、影響範囲が容易に広がるという特性を考えると、部局の長では力不足です。結果的に三役の誰かが担うことが望ましいでしょう。

「情報セキュリティ」という言葉にとらわれると、情報政策部門を所管する部局長や、情報政策を所管するCIOを充てがちですが、セキュリティインシデントはデジタルだけの話ではないことに留意してください。（情報漏えい等のインシデントの主たる経路は依然として紙媒体です）

もちろんCISOに情報技術の知見を求めるのは現実的ではありませんので、CISOを組織的にサポートする立場の人物（役職）が必要です。総務省のガイドラインでは「推奨事項」として外部の有識者たるCISO補佐官を置くような記述もありますが、外部の有識者は組織上の責任を負うことができませんので、任用や権限に関するハードルを考えると、あまりこだわらなくても良いいのではないかと思います。（その意味で当社はCISO補佐官業務もお引き受けしているので、ある種の自己否定とも言えます。考えられるとすれば、セカンドオピニオンぐらいの位置づけでしょうか。）

統括情報セキュリティ責任者は誰を充てるべきか

前述の「CISOを組織的にサポートする立場の人物（役職）」の答えが、この統括情報セキュリティ責任者です。

重要なのは行政機関の中にいる人物（役職）であることです。これは組織上の意思決定権を持つCISOを補佐する役割であるため、必然的にそうなります。ここに情報政策部門を所管する部局長を充てるのが良いと考えます。（町村規模の自治体ですと、そもそも部局制を採用していないところもありますが、それは個別にご相談ということで。）

セキュリティポリシーでは、統括情報セキュリティ責任者はなかなか忙しい役回りとなります。本来の担当業務もある中で、情報セキュリティばかりに注力はできないでしょうから、プロキュアテックでは統括情報セキュリティ責任者の業務を実質的に担う組織を設定しています。

また統括情報セキュリティ責任者には情報セキュリティ運用においてさらに重要な役目を担います。それは「情報セキュリティ委員会」の委員長あるいは副委員長です。情報セキュリティ委員会については後述します。

情報セキュリティ責任者は誰を充てるべきか

統括情報セキュリティ責任者と情報セキュリティ責任者の関係は、企業における取締役と代表取締役の関係に似ています。

そのため、ここでは各部局の長がそれぞれの部局を所管する情報セキュリティ責任者となるのが良いと思います。付け加えるのならば、情報セキュリティ責任者は情報セキュリティ委員会のメンバーとなります。重要なのは、統括情報セキュリティ責任者と情報セキュリティ責任者の職階は同じにしたほうが良いということです。詳細は後述します。

ちなみにセキュリティポリシーでは、各部局の情報セキュリティ責任者に課せられた役割はさほど多くありません。そのため、情報セキュリティに関する運用の責任者というよりも、情報セキュリティ委員会のメンバーとしての立場を重視したほうが良いと思います。（情報セキュリティ委員会の開催頻度次第ですが、本来業務に負担が掛かるほどではないと思います）

情報セキュリティ管理者は誰を充てるべきか

民間企業における「経営」と「執行」を分離するがごとく、CISO、統括情報セキュリティ責任者、情報セキュリティ責任者を「経営」メンバーとするならば、情報セキュリティ管理者は「執行」を担う立場となります。

情報セキュリティに関する「執行」の主体は各所属（課室）なので、情報セキュリティ管理者には、それを管理する立場である各課の課長が担うべきでしょう。

留意しなければならないのは、この情報セキュリティ管理者の責任範囲は所属（課室）です。すなわち、情報システムの存在は関係ありません。職員の日常的な運用（紙の運用も含む）に対して、セキュリティ対策を指示する役目となります。

情報システム管理者は誰を充てるべきか

情報セキュリティ管理者の責任範囲は所属（課室）であるのに対して、情報システム管理者の責任範囲は情報システムです。これは庁内の情報システムに関する調達や契約を誰が担っているかにより、実態は異なるものと思われます。

本題から少しそれますが、庁内の情報システムのガバナンスの観点と「情報システムはあくまでも業務遂行の道具に過ぎない」という考えから、私自身は庁内の情報システムの管理は各所属（課室）が担うべきという考えを持っています。したがって、各所属で情報システムを管理しているのならば、情報システム管理者は各課の課長が充てられることになります。

総務省のガイドラインが難しくなるのは、ここで事実上同じ人物が担う「情報セキュリティ管理者」と「情報システム管理者」が混在するところでしょう。しかも、ポリシーの構成がシステムと組織を明確に分離していないので、普通に読むと頭が混乱すること間違いなしです。

そこで、プロキュアテックではあえてこの２つの役割を統合させることができるようにしています。つまり、「情報システム管理者」という名称で所管する所属もシステムも一緒に管理するという考えです。

仮に情報システムを所管しない所属があったとしても、セキュリティポリシー上は読み飛ばせばよいので実務的には問題ないのと、将来的に情報システムを新たに所管する事態になっても、混乱する場面は減るというメリットがありますので、オススメです。（単純に役割が減るだけでもポリシーは運用しやすくなります）

蛇足ですが、教育情報セキュリティに関するポリシーでは、これとは異なる考えとなりますので、留意してください。

ポリシー上の組織について

情報セキュリティ委員会のメンバーに誰を参加させるか

これまでも少し触れていますが、情報セキュリティ委員会は組織横断的な意思決定組織と承認機関なので「経営」の役割を持つ、CISO、統括情報セキュリティ責任者、情報セキュリティ責任者で構成することが望ましいと考えます。

総務省のガイドラインやそれを解説した資料を見ると、情報セキュリティ委員会のメンバーに情報セキュリティ責任者や情報システム責任者、担当者までを含めているものもありますが、おそらくそのような組織はうまくいきません。

異なる職階の人間が混在すると、組織的な意思決定はできませんし、下の職階の人間が発言することも難しく、その人物の時間をムダに奪うだけの展開となります。

少なくとも情報セキュリティ責任者（部局長）と情報セキュリティ管理者（課長）は組織上で同じラインの上下関係にあり、行政組織としては元々コミュニケーションが密になっているはずなので、情報セキュリティに限らず、日常的に情報が共有されていると見るべきでしょう。セキュリテイ委員会の決定事項を執行させるぐらいの伝達は特に難しいものではありません。（仮にそれができないのならば、行政組織として機能不全になっています）

ちなみに情報セキュリティ委員会の構成員は経営層職員ばかりとなりますので、この会議体を回していくための事務局機能が別途必要になります。プロキュアテックでは、この情報政策部門（情報政策課など）が事務局機能を担うように構成しています。

上述した「統括情報セキュリティ責任者」の説明では、この件についての布石を打っておきました。読み返していただくとわかるのですが「統括情報セキュリティ責任者の業務を実質的に担う組織を設定しています。」と書いています。これは情報政策部門が実働部隊として動くことを意図しています。

CSIRTに誰を参加させるか

総務省のガイドラインでは（もちろんプロキュアテックでも）CSIRTはCISOが任命し、CISOの指示の下で動く組織となっています。セキュリティインシデントが頻繁に生じないとするならば、CSIRTの専業部隊を庁内に置くのは人的リソースの無駄遣いでしょう。

しかし、普段全く情報セキュリティに携わらない職員にCSIRTをさせるのも現実味がありません。特に硬直化した組織の場合、所属をまたがった組織というのはうまく機能しないことが多いのです。その結果、現実解は情報政策部門が担うことになるでしょう。つまり組織上は普段は統括情報セキュリティ責任者の実務部隊として、緊急時はCISOの指示を受けた実務部隊として同じ情報政策部門が引き受けることになります。