「情報セキュリティ管理基準(改正案)」に対する意見

2015年8月24日
一般社団法人 情報処理学会
会 長  富田 達夫

以下のとおり,2015年8月24日付で意見書を提出しましたのでご報告いたします.
(協力:コンピュータセキュリティ(CSEC)研究会,セキュリティ心理学とトラスト(SPT)研究会)


2015年8月24日
経済産業省 商務情報政策局 情報セキュリティ政策室 パブリックコメント担当 御中
一般社団法人 情報処理学会
会 長  富田 達夫
以下の通り意見を提出しますので宜しくご査収ください。

[意見1]
  • 該当箇所:全体
  • 意見内容:監査制度とは異なる手段に基づく、管理基準を適切に運用・遵守するための施策の策定を期待します。
  • 理  由:一般に、立派な管理基準が策定されていても、その管理基準が適切に運用・遵守されていないために、セキュリティ事故が発生する場合があります。
[意見2]
  • 該当箇所:全体
  • 意見内容:本資料をISO27001/27002の改訂としてISO/JISに提案し、国際規格として位置づける取組みを期待いたします。さもなくば、ISO27001/27002 の補足や解釈適用に関するガイドラインなどとしてまとめることも有用と考えます。
  • 理  由:管理基準の目的は、事故やその被害の発生や拡大を抑えることと考えます。ISO/JIS とは別に本資料をまとめることは、守るべきルールが複数存在するダブルスタンダードに陥る恐れが考えられ、現場レベルの者を混乱させる要因になる可能性があります。
[意見3]
  • 該当箇所:IV.管理策基準
  • 意見内容:良くまとめられていると感じました。しかしながら項目が多いため、全体をできるだけ分かりやすく表現する工夫が必要かもしれません。また本検討にくわえ、社会全体で各組織がベストプラクティスを共有する仕組みを構築していけると、基準として更に機能すると考えます。
  • 理  由:特になし。
[意見4]
  • 該当箇所:16.1.2 情報セキュリティ事象は、適切な管理者への連絡経路を通して、できるだけ速やかに報告する。
  • 意見内容:「情報セキュリティ事象」に、いわゆる「ヒヤリ」「ハッと」で済んだ事象(ミスや攻撃などがあったが、それに耐えることができた事象)も含む、と明記した方がよいと考えます。
  • 理  由:破られた事例だけでなく、防御に成功した事例からも学ぶべきであり、それらを把握すべきと考えます。セキュリティ経済学でも、被害金額の期待値は、「攻撃等の脅威が成功した時の経済的損失」「攻撃等の脅威が生起する確率」「攻撃等の脅威が生起した際に、生起したという条件の下で、脅威が成功する条件付き確率」の積で表されます。
    L.A. Gordon and M.P. Loeb, ``The economics of information security investment,'' ACM Transactions on Information & System Security, vol.5, no.4, pp.438-457, 2002.
    K. Matsuura, ``Productivity space of information security in an extension of the Gordon-Loeb's investment model,'' in Managing Information Risk and the Economics of Security, M.E. Johnson (ed.), pp.99-119, Springer-Verlag, 2009.
以上

管理部門への問い合わせフォーム