2020年12月25日

今回のブログではセキュリティのプロフェッショナル求められる"心得"について考えたいと思います。

"心得"と聞くと「変なワードを使うな」と思う方もいらっしゃるかと思いますが、技術的な意味合いを前面に出したくなかったため、あえて"心得"としました。
ここで取り上げるテーマは、特定の技術的なスキルについてではなく、広く業務に取り組む際の"考え方"や"姿勢"、"視点"のようなものだと考えていただくと良いかと思います。

ここでは、セキュリティのプロフェッショナルに求められる心得を考えるために、情報処理安全確保支援士の倫理綱領(以下、登録セキスペ倫理)[1]と(ISC)²の倫理規約(以下、(ISC)²倫理)[2]を読み解き、整理していきたいと思います。

情報処理安全確保支援士と(ISC)²の倫理を読み解く

※以降の内容と併せて、登録セキスペ倫理と(ISC)²倫理を読むことをお勧めします。

まず、登録セキスペ倫理に書いてある内容は、基本的に(ISC)²倫理にも記述されているように見受けられます。また、登録セキスペ倫理は「当然」と思われる一般的な内容の記述に留まっており、あまり踏み込んだ内容までは記述されていないと思います。ただ、それは登録セキスペ倫理の記述が不足しているというよりは、重要なポイントに絞られていると感じました。そのため、登録セキスペ倫理には、セキュリティのプロフェッショナルの心得のエッセンスがコンパクトにまとめられていると考えています。

ここでは、比較的詳細に記述されている(ISC)²倫理からピックアップした指針をベースに、適宜登録セキスペ倫理の内容も取り上げつつ、セキュリティのプロフェッショナルの心得について読み解いてみたいと思います。

なお、(ISC)²倫理は構成として、以下のように分かれています。

以降で特に断りなく"規約"や"指針"と記載されている場合は、(ISC)²倫理で定義されているものを指しているとご理解ください。

セキュリティのプロフェッショナルに求められている役割

セキュリティのプロフェッショナルに求められている役割について、指針を参考に考えます。

(ISC)²倫理規約より引用します。

Promote the understanding and acceptance of prudent information security measures.
万全な情報セキュリティ対策についての理解を促し、その必要性を認識させる。

これは例えば、セキュリティ対策などに関して「なかなか組織の上層部(経営層)に理解されない」というケースにもつながる内容かと思います。このようなケースにおいて、最終的な決定は経営層がするため、責任も経営層が負うことになりますが、理解を促す側にも一定の責任があると思います。したがって、理解を促す側は少なくとも事実としてデータを整理するなど、セキュリティ対策の必要性について経営層が客観的に判断できるようにする責任があると思います。

この指針を広義に捉えると、規約や登録セキスペ倫理の前文にあるように、"社会の保護"につながっていくものと考えられます。例えば、セキュリティのプロフェッショナルが経営層に対してセキュリティ対策についての理解を促しきれず、経営層が正確な判断をできなかったとします。それにより、必要なセキュリティ対策が実施されずインシデントが発生し、広く社会に対して悪影響が起きてしまう、という可能性を考えるとこの指針の重要性がより理解しやすいのではと思います。

ここで、もう一つ指針を (ISC)²倫理規約より引用します。

Discourage unsafe practice.
安全性に問題のある慣習をやめさせる。

"安全性に問題のある慣習"は、

などが挙げられると思います。いずれのケースでもその慣習の危険性が正しく理解されていないことはもちろんですが、その悪しき慣習をやめさせる機能がその組織に働いていないことも原因として考えられます。そして、セキュリティに関してその機能を担うのがセキュリティのプロフェッショナルだと思います。

前述した"セキュリティの理解を促す指針"と同様、この指針も「社会を保護する」という規約に含まれているものです。どちらの指針も組織、広く言えば社会が保護されるよう正しい方向に導くものであり、そこに導くことがセキュリティのプロフェッショナルに求められている役割だと思います。

セキュリティのプロフェッショナルが注意すべきこと

次に、セキュリティのプロフェッショナルが注意すべきことについて、指針を参考に考えます。

(ISC)²倫理規約より引用します。

Give prudent advice; avoid raising unnecessary alarm or giving unwarranted comfort. Take care to be truthful, objective, cautious, and within your competence.
助言や忠告は慎重に行う。不必要な不安を煽ったり、軽々しく保証したりしない。自分の権限内で、慎重かつ客観的に真実を報告する。

これは例えば、危険性の低いことを過度に危険と言ったり、逆に危険性があるにも関わらず安易に安全だといったり、このセキュリティ対策をしておけば絶対安全などと、安直な助言や忠告をするべきではない、ということだと思います。何をもって危険・安全と言えるのかは、その環境や求められているセキュリティの水準によって異なります。そのため、様々な要因を慎重に考慮した上での助言や忠告であるべき、ということだと思います。

なお、利害が絡んでいる場合にはこの指針から外れてしまう恐れもあります。これは十分かつ適切なサービスを提供するための指針として、以下の箇所でも示されています。

(ISC)²倫理規約より引用します。

Avoid conflicts of interest or the appearance thereof.
利害の衝突、または利害が衝突しているかのように見える行動を避ける。

利害が見えてしまうと相手もそれを意識してしまい、相手が客観的・論理的な選択や判断ができなくなる可能性が考えられます。その結果、最適な選択肢が採用されず、十分かつ適切なサービスを提供できない、ということにつながりかねません。さらに、十分かつ適切なサービスが提供できなければ、登録セキスペ倫理の基本原則である「信用保持」が満たされないことになります。そのため、この2つの指針に関し、深く注意をしておくことが結果的に社会の保護につながると考えています。

まとめ

以上のように、登録セキスペ倫理と(ISC)²倫理のどちらにおいても、社会や公共の保護・安定が最も重視されています。

「社会を保護する」の意味するところは「社会が発展しようとしているときに、安定して発展できるようにする」ということだと考えています。これは、言い換えると"セキュリティ"が社会の発展を阻害するようなものであってはならないということです。

例えば、組織が発展のための新しい取り組みを実施する際に、セキュリティの観点で何らかの問題があったとします。その際、単に問題を指摘するだけであったり、「問題があるからやらないほうがいい」というような助言や忠告は組織の発展を阻害します。

ここでセキュリティのプロフェッショナルに求められているのは、どうすれば組織の目的を達成できるかという視点を持ち、その取り組みを安全に行うための選択肢を組織に示すことだと思います。それが結果として組織、広くは社会の発展につながると確信しています。

セキュリティの世界だけに閉じこもっていると、社会と情報セキュリティの関係性や、その関係性の中でセキュリティのプロフェッショナルに求められている役割が見えづらくなるのではないかと感じています。登録セキスペ倫理と(ISC)²倫理にもあるとおり、情報セキュリティの知識を高めることは大事なことです。ただし、より大事なことはその知識をどう社会に活かすか、ということであり、それがセキュリティのプロフェッショナルの一番大切な"心得"だと思います。

本ブログが少しでもみなさんの役に立ち、安全・安心な社会に少しでも寄与することを願っています。

参考文献

執筆者の他の記事を読む