NECセキュリティブログの(ISC)2倫理規約の記事にツッコミを入れる

たまたま目にしたNECさんのセキュリティブログ「情報処理安全確保支援士と(ISC)²の倫理からセキュリティのプロフェッショナルに求められている心得を考える」が、根本的なところで読解を間違っているのでツッコミを入れてみる。

TL;DR

(ISC)²倫理規約では、社会>法律>当事者>専門知識と4つの規律の優先順位が厳格に決められているが、NECさんのブログは「当事者」の事例に、「社会」の規律を持ち込んで、倫理規律の優先順位に違反している。

本編

その前提となる日本語訳つき(ISC)2 CODE OT ETHICSはこちら。

この(ISC)2の倫理規約は、序文(Preamble)、規律(Canons)、指針の目標(Objectives of Guidance)、指針(Guidances)からなる。

NECさんのブログでは、「万全な情報セキュリティ対策についての理解を促し、その必要性を認識させる。(Promote the understanding and acceptance of prudent information security measures.)」という指針(Guidance)について次のように解説されている。

これは例えば、セキュリティ対策などに関して「なかなか組織の上層部(経営層)に理解されない」というケースにもつながる内容かと思います。このようなケースにおいて、最終的な決定は経営層がするため、責任も経営層が負うことになりますが、理解を促す側にも一定の責任があると思います。

https://jpn.nec.com/cybersecurity/blog/201225/index.html

この部分は完全に誤読だ。

「万全な情報セキュリティ対策についての理解を促し、その必要性を認識させる」は、「社会、一般大衆の福利、およびインフラを保護する」という規律に対する指針(Guidance)であって、「当事者に対して、十分かつ適切なサービスを提供する」という規律に対する指針ではない。

「最終的な決定は経営層がするため」うんぬんの話は、セキュリティ専門家の顧客の経営層を指しているが、これは4つの規律のうち「当事者(principals)」についての規律に該当する。

本来、社会に対する規律の指針なのに、それを当事者に対する規律の指針と勝手に読み込んでいる。しかし、(ISC)2倫理規約では、4つの規律(Canons)には以下の部分にあるように明確な優先順位がつけられている。

規律の内容が矛盾する場合は、規律の順序に従って解決しなければならない。これらの規律は優先度が等しいわけではなく、規律間の矛盾は倫理的ジレンマの発生を促すものではない。(The canons are not equal and conflicts between them are not intended to create
ethical binds.)

https://japan.isc2.org/files/codeofethics.pdf

4つの規律は以下の内容で、この順番に明確に優先順位がつけられている。

  • 社会、一般大衆の福利、およびインフラを保護する。
  • 法律に違わず、公正かつ誠実に責任を持って行動する。
  • 当事者に対して、十分かつ適切なサービスを提供する。
  • 専門知識を高め、維持する。

社会・公衆>法律>当事者>専門家の順だ。

このうち「当事者」というのはセキュリティ専門家にとっての直接の当事者、つまり顧客のことだ。お金をもらっているかどうかは別として、専門家が直接助言をする相手のことである。

そして当事者の優先順位は、社会全体や公衆の下の、法律のさらにその下で、かろうじて専門家自身よりも上という順位だ。

社会全体に対する規律の指針を、勝手に当事者に対する規律の指針の事例と解釈するこのNECさんのブログは、(ISC)2倫理規約の規律の明確な優先順位付けに反している。

専門家は、社会全体に対する規律と、直接助言をあたえている顧客に対する規律が矛盾したときは、当然のこととして社会全体に対する規律を優先させなければならない。

なので、顧客の経営層が正確な判断ができず、社会全体に悪影響が起こるかもしれない場合は、顧客の経営層に対する助言よりも、社会全体の悪影響を避けることを文句なしに優先しなければいけない。

顧客の経営層が正確な判断をすることが、ひいては社会全体のセキュリティを確保する、という読解は、つまり、個々の組織のセキュリティが、ひいては社会全体のセキュリティにつながるという読み方は、完全に間違っている。

個々の組織は社会全体の構成員にすぎない。社会全体のセキュリティについての正確な判断が、ひいては個々の組織の経営層の正確な判断につながる。これが(ISC)2倫理規約にそった正しい考え方だ。

このNECさんのブログは、さらにもう一回、同じ優先順位の間違いをおかしている。

「安全性に問題のある慣習をやめさせる (Discourage unsafe practice)」は社会全体に対する規律の指針だが、この規律も当事者に対する規律の指針として、同じように間違った読解をしている。

どちらの指針も組織、広く言えば社会が保護されるよう正しい方向に導くものであり、そこに導くことがセキュリティのプロフェッショナルに求められている役割だと思います。

https://jpn.nec.com/cybersecurity/blog/201225/index.html

完全に間違っている。(ISC)2の倫理規約の規律は、あくまで社会>法律>自分の顧客の組織>自分自身であって、「組織、広く言えば社会」では優先順位が正反対だ。

これは、NECさんのセキュリティ専門家は社会全体の利益より自分の顧客の利益を優先します、と言っているに等しい。NECの顧客にとっては、社会全体より自分の会社を優先してくれるのでうれしいのかもしれないが、(ISC)2倫理規約には反している。

(ISC)2の倫理規約は、ふだん顧客にサービスや助言の提供をしている中で、セキュリティ専門家がうっかり社会全体の利益より顧客の利益を優先させないように禁じているわけだが、このNECさんのブログは、不注意でそのミスをおかしてしまっている。

NECさんのブログの最後に、この誤読を裏付ける部分がある。

(ISC)²倫理規約より引用します。

Avoid conflicts of interest or the appearance thereof.
利害の衝突、または利害が衝突しているかのように見える行動を避ける。

https://jpn.nec.com/cybersecurity/blog/201225/index.html

Avoid conflicts of interest or the appearance thereof.」は、社会全体に対する規律の指針ではなく、当事者に対する規律の指針なのだが、ここでは社会全体と当事者の間にある明確な優先順位があいまいにされてしまっている。あたかもセキュリティ専門家は、顧客である当事者の利益を優先すれば、自然と社会全体の利益も実現するかのような誤解を与えている。

その点でこのブログは(ISC)2倫理規約の解説として、致命的な誤読を紹介してしまっていると思わなくもないのですが、どうでしょうか(汗)。