【ISMS規格改訂こぼれ話】”ブラックリスト”、”ホワイトリスト”は実は使用NG!?

先般行われたISMSの規格改訂。この改訂のメインはもちろん現在の情報セキュリティ情勢を考慮したものではありますが、実はその影には、情報セキュリティとは少し違った重要な変更なんかもあったりします。
今回はそんな本筋とは少し違うけれどぜひ押さえておくべきこぼれ話をご紹介しようと思います。

「ブラックリスト」と「ホワイトリスト」の定義

本題に入る前にそもそもこの2つのキーワードの定義について改めて確認しておきます。なんとなくわかっている方も多いと思いますので、そういった方は読み飛ばしてください。

ブラックリスト（blacklist）
注意や監視を要する人物の氏名・住所などを記した表。黒表こくひょう。→ブラックリスト方式 →ホワイトリスト

デジタル大辞泉

ホワイト‐リスト（white list）
好ましいもののリスト。優良企業や適格者、よい図書や映画の一覧など。ブラックリストに対していう。白表。→ホワイトリスト方式

デジタル大辞泉

ざっくりまとめると、NG一覧とOK一覧のようなものですね。

情報セキュリティにおける「ブラックリスト」と「ホワイトリスト」

そんな2つの考え方ですが、情報セキュリティの世界でもよく使われる言葉であり、ISMSの管理策のガイダンスでもあるISO27002:2013にも、マルウェア対策として、「使っていいアプリのホワイトリスト化」「アクセスしてはいけないWebサイトのブラックリスト化」などといったような表記が登場してきています。実際ブラックリストやホワイトリストを整備している組織も少なくないのではないでしょうか。

ただそんな2つのキーワードなのですがタイトルの通り、変化が生じてきているのです。

「ブラックリスト」「ホワイトリスト」に対する社会的な潮流の変化

情報セキュリティ界のみならずさまざまな場所で普通に使われてきたこの2つのキーワードですが、世界的にはとあるタイミング・理由から見直しを行おうという動きが活発化しています。

そのひとつが2020年に全米に広がっていった「Black Lives Matte運動」です。その中の人権や平等を保障しようという考えの中で、「ブラック＝良くない」「ホワイト＝良い」といったステレオタイプも良くないのではないかという議論が出てきてこういったキーワードについても見直すべきではないかという動きにつながってきました。

実際に最近では「ブラックリスト→ブロックリスト、拒否リスト」「ホワイトリスト→許可リスト、パスリスト」など別の言葉に置き換えるケースも増えているようです。

Linuxでも「ブラックリスト」「スレーブ」などの用語を変更へ

Twitterが「Whitelist/Blacklist」「Master/Slave」などの用語を置き換え

ISMS規格改訂にも反映される世界の潮流

ここまで前段が長くなってしまいましたが、改めて本日の本題に入っていきたいと思います。それはISMSの規格改訂にもそんな社会の潮流が反映されているということです。

これだけ2つのキーワードについて説明していればなんとなくイメージはついているでしょうが、その通り今回の規格改訂ではこの2つのキーワードが以下の通り変わりました。

ブラックリスト　→　ブロックリスト（brocklist）
ホワイトリスト　→　許可リスト（allowlist）

細かな変化かもしれませんが、立場によってはすごく重要な変化でもあります。せっかく規格側でも考慮された用語でもあるので積極的に使っていきたいですね。

まとめ

今回はISMS規格改訂こぼれ話ということで、規格改訂本筋とは少しズレるけどぜひ知っておいてほしい重要な変化についてご紹介しました。

ISMSの規格改訂は大体5年以上のサイクルで行われているのでその間に社会の潮流が大きく変わっていることもあります。そんな変化に気づくことができるのも興味深いですね。

情報セキュリティ対策自体に深く関わるものではないですが、この点を考慮しておくだけで優しい世界が広がるのであればぜひ押さえておきたいです☺️