ISMS規程の「暗号化」「デジタル署名」「否認防止」は、それぞれどう解釈すべきですか?
ISMSサンプル文書集、「ISMS-B13 システムの開発および保守管理規程」の「3.1 暗号による管理策の利用方針(A.10.1.1)」にある、(1)、(2)それぞれの文章と【暗号化】【デジタル署名】【否認防止】のそれぞれの読み方を教えてください。
たとえば【暗号化】の
「リスクアセスメントの結果、暗号化を行う必要がないため、適用外とする。」
という文章を活かした場合でも(1)の文章はそのまま残すものでしょうか?
「暗号による管理策の利用方針」における規定の読み解き方と、各用語の定義について解説いたします。
なお、ご質問の「ISMS-B13 システムの開発および保守管理規程」の「3.1 暗号による管理策の利用方針(A.10.1.1)」は、ISO 27001:2023への対応の際、「B11 通信・運用管理規程」の4へ移動しております。
1. 規定の構造:方針(1・2)と具体的手段(【 】)
本規定は、「判断基準(方針)」と「実施内容(具体的手段)」の2段構えになっています。
- (1)・(2)の文章:
「どのような場合に暗号化を検討すべきか」という組織の判断基準です。リスクアセスメントの結果に関わらず、組織のルールとして残しておくべき項目です。 - 【 】書きの文章:
特定の技術(暗号化、署名等)を実際に採用するかどうかの実施ステータスです。
結論として、【暗号化】を「適用外」とした場合でも、(1)や(2)は「将来的な判断基準」としてそのまま残しておくことを推奨します。
理由は、(1)・(2)が「もし将来的にAランクの資産を扱うことになった場合、あるいは新たな脅威が見つかった場合に、暗号化を検討する」という運用の根拠となるためです。これらを削除してしまうと、組織として「いつ暗号化が必要か」を判断する物差しがなくなってしまいます。
なお、こちらの管理策は、「8.24 暗号の利用」に該当しております。
2. 用語の定義と役割
【暗号化】【デジタル署名】【否認防止】のそれぞれの技術は、いずれも「暗号技術」を応用した対策ですが、守るべき目的が異なります。
| 項目 | 目的 | 役割 |
|---|---|---|
| 【暗号化】 | 機密性の保護 | データを読めない状態にし、盗聴や漏えいを防ぐ。 |
| 【デジタル署名】 | 完全性・真正性 | 送信者の本人確認と、データが改ざんされていないことを証明する。 |
| 【否認防止】 | 責任追跡性 | 取引や通信の事実を後から否定できないように証拠を残す。 |
技術的なつながりとして、(1)・(2)で「広義の暗号化」について触れているのは、デジタル署名や否認防止も内部的には「暗号技術(公開鍵暗号など)」を利用しているためです。
- デジタル署名:
内容をハッシュ化し、秘密鍵で「暗号化」することで実現します。 - 否認防止:
デジタル署名やタイムスタンプ、証明書を組み合わせることで、「その事象が確かに起きたこと」を証明します。
3. 審査対応のポイント
ISMSの審査においては、「なぜその対策をやっているのか(あるいはやっていないのか)」の根拠が問われます。
(1)・(2)を残しておくことで、「現状はリスクが低いため【 】内の各手段は適用外としているが、Aランク資産が発生した際には(1)に従って検討する体制にある」と説明でき、適切な管理サイクル(PDCA)が回っていることを証明できます。
もし現在、貴社でデジタル署名や否認防止サービスを一切利用していない場合は、サンプルにある通り「リスクアセスメントの結果、該当する電子文書の交換がないため適用外とする」と記載し、(1)・(2)の方針によって「必要な時が来たら検討する」というガバナンスを維持しておくのが最もスマートな構成です。
