規程とレビューの関係

レビュー業務に携わり始めると、「規程に書いてある通りになっているか」を確認することがレビューだと思われがちです。

もちろん、規程への準拠を確認することは重要です。しかし、レビューの本質は単なる規程チェックではありません。

なぜなら、「規程を守ること」と「安全であること」は必ずしも同じではないからです。

規程はすべてを細かく書けるわけではない

規程は企業として守るべきルールを定めたものです。

しかし、現実のシステムや業務は多種多様であり、発生しうるすべてのケースを規程に書き尽くすことはできません。

そのため、多くの規程は具体的な実装方法ではなく、達成すべき「目的」や「要求」を定める形になっています。

規程を策定する担当者の言葉を借りれば、規程に書かれているのは「何を守りたいのか」「何を実現したいのか」であって、「すべての状況で何をすべきか」という詳細な答えではありません。

レビュー対象は規程の文言と一致しない

実際のレビューでは、設計書や運用設計、システム変更の内容が規程の文言とぴったり一致することはほとんどありません。

例えば規程には、

• 必要最小限の権限とすること
• 通信を適切に制御すること
• 情報を適切に保護すること

といった要求が書かれているかもしれません。

しかしレビュー対象となる設計書には、もっと具体的なシステム構成や運用方法が記載されています。

そのため、

「この設計は規程のどの条文に当てはまるか」

だけを考えていては十分ではありません。

本当に考えるべきなのは、

「この設計は規程が求めている目的や要求を満たしているか」

という点です。

「やりたいこと」の理解が重要になる

そのためレビュー担当者には、設計書に書かれている内容だけではなく、その変更で何を実現したいのかを理解する力が求められます。

以前の記事でも書いたように、レビューで最も重要なのは「やりたいこと」の把握です。

設計は目的を実現するための手段です。

目的を理解せずに設計だけを見ると、規程の適用を誤ることがあります。

逆に、やりたいことを理解できれば、その設計が規程の要求を満たしているのか、あるいは別の実現方法があるのかを考えられるようになります。

規程の文言を読むだけではなく、その背景にある意図を理解することがレビューの重要な役割なのです。

規程は万能ではない

さらに言えば、規程そのものも万能ではありません。

規程は定期的に見直しや改訂が行われますが、現実の技術動向や脅威の変化にリアルタイムで追従できるわけではありません。

新しい技術や新しい攻撃手法が登場したとき、規程にはまだ記載されていないケースもあります。

また、規程は企業として守るべき最低限の基準を定めたものであり、あらゆるリスクを排除することを保証するものではありません。

規程に準拠していてもリスクが残ることはありますし、逆に規程に書かれていない観点から問題が見つかることもあります。

規程準拠はゴールではなくスタートライン

レビューにおいて規程準拠は重要です。

しかし、それは安全性を保証するゴールではありません。

規程準拠は、企業として守るべき最低限のラインを満たしていることを確認するためのものです。

レビュー担当者に求められるのは、規程の文言を機械的に当てはめることではなく、その規程が何を守ろうとしているのかを理解し、レビュー対象がその要求を満たしているかを考えることです。

「規程を守ること」と「安全であること」は同じではありません。

だからこそレビューでは、規程だけでなく、その背景にある目的や設計の意図まで理解することが重要なのです。