前に、組織ごとにセキュリティ規程を共有する必要性を書いた。

　規程と基準、要領(手順書)の段階的に分けて考えるのは正しいのですか、特に基準の濫用にならないようにしたい。

　基準というのは、セキュリティリスクやリスクのある業務に対して、どこまでの業務許すのか、業務で取り扱う情報などの機密度合いなどを判断する基準などを総称して基準としている。

　一般的に考えても、基準が厳しければ業務に対しての足枷は厳しくなるし、ゆるければ従業員がセキュリティリスクに遭遇するリスクが高くなる。基準と対策は、事業をやる中でのリスクと対策に対する投資対効果の両立で決めるものと考えたい。

 

　もちろん、世の中に基準を作るに当たり、参照できる基本的な考え方、フレームワークかな。このようなフレームがまとまっていて参照できるのは、俯瞰的に対策ができるので、非常にありがたいし、自社のセキュリティ統制を作るときに眺めることができればそれもいいが、

• MITRE ATT&CK®・・現実世界の観察に基づいた敵の戦術とテクニックに関する世界中からアクセス可能な知識体型。

• NIST サイバーセキュリティフレームワーク（CSF)とは？解説と対策・・

  、政府機関「米国国立標準研究所（National Institute of Standards and Technology, NIST）」が2014年に発行した、汎用的かつ体系的なフレームワーク。

 

　最近、会社によっては戦略的にホールディングカンパニー（HD)制を取ることがあるので、その場合に、HDとメンバーとなる事業会社をまたいだ統制が求められることがある。（だから、事業会社が事業者としての業務をやっている場合には、HDも同じように統制能力が高くあるべきだ、という意見もある。・・・考え方としてはなくはないが、例えばHDが10名足らずで、事業会社が1万人を超える従業員を持っている場合に、HDに全部の統制を押し付けるのは無理がある）

 

　でもHDと事業会社にコミュニケーションパスは作りたいので、まずはセキュリティ統制をきっかけとしてコミュニケーションを、情報セキュリティ委員会や、承認や受け入れの手順を用いて導入するのもいい。

 

　で、各統制は、第3者に客観的に監査していただいて、助言される必要がある。「自分でちゃんとやってます」というよりも、第3者に見ていただいたほうが安心できるものですよね。

　ただ稀に、特に内部監査の場合に、徒に基準に書かれていることを遵守しているかどうかに情熱を注ぐ人が居る。もちろん、内部監査業務の初歩として、基準を遵守しているかどうかのチェックから入るのは正しいアプローチ。でも監査の実際は、観察の中で組織のリスクが統制されているかどうかをチェックするものであり、すべての統制が基準に書いてあるべきなんてのは本末転倒になっていないか気になるところ。

 

　外部監査は内部監査とは違う。一定の認定のお墨付きを与えるための監査なので、流石に外部監査にローカルルールを強要する会社はない、と思っているんだけど。