IT資産管理

情報セキュリティポリシーとは?策定手順や注意点を徹底解説

Written by MashiNari

ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。

情報セキュリティポリシーとは?策定手順や注意点を徹底解説

進化を続ける脅威にはどう対処すべき?組織の安全を保護するエンドポイントセキュリティ【2022年最新版】

資料をダウンロードする

情報セキュリティポリシーとは、企業・組織が実施する情報セキュリティ対策の方針や行動指針を指します。

情報セキュリティポリシーの内容は、企業・組織の規模、保有する情報資産、体制などによって異なるため、自社にあったものを策定する必要がありますが、一般的には以下の項目を含むとよいとされています。

情報セキュリティ基本方針 組織として情報セキュリティに取り組む方針を策定した基本的な文書
情報セキュリティ方針 情報セキュリティマネジメントをするための社内体制や役割、責任を記載した文書
情報セキュリティ対策規定 実際に取り組むセキュリティ対策を記載する文書
情報セキュリティ対策手順書 情報セキュリティ対策を行うために利用するソフトウェアやハードウェアの操作手順書
記録、台帳類 情報セキュリティポリシーを適用する資産の台帳や、実施した内容の記録

情報セキュリティポリシーを策定することで

  1. 情報資産の保護
  2. 有事の際の迅速な対応
  3. 従業員のセキュリティ意識の向上

などが可能になることから、その必要性は年々高まっています。

この記事では、情報セキュリティポリシーの概要や必要性、策定時の留意点などを解説します。

▼この記事を要約すると

  • 情報セキュリティポリシーとは、企業・組織が実施する情報セキュリティ対策の方針や行動指針
  • 情報セキュリティポリシーを策定することで「情報資産の保護」「有事の際の迅速な対応」「従業員のセキュリティ意識の向上」などが可能になることから、その必要性は年々高まっている
  • 情報セキュリティポリシーに含むべき項目としては「情報セキュリティ基本方針」「情報セキュリティ方針」「情報セキュリティ対策規定」「情報セキュリティ対策手順書」「記録、台帳類」などがある
  • 情報セキュリティポリシーを策定するポイントして「具体的な内容を記載する」「セキュリティポリシーを維持・改善する体制を整える」「適用範囲の明確化」などが挙げられる

情報セキュリティポリシーとは?


情報セキュリティポリシーとは、企業・組織が実施する情報セキュリティ対策の方針や行動指針を指します。

具体的には、保有する情報資産をさまざまな脅威から守るために「どのような対策を講じるのか」「どのような手順で対策を行うのか」などを策定します。

なお情報セキュリティポリシーの内容は、企業・組織の規模、保有する情報資産、体制などによって異なるため、自社にあったものを策定する必要があります。

情報セキュリティポリシーはなぜ必要なのか

情報セキュリティポリシーが必要な理由としては以下が挙げられます。

  1. 情報資産を守ることができるから
  2. 有事の際に迅速な対応が可能になるから
  3. 従業員のセキュリティ意識の向上が図れるから

情報資産を守ることができるから

情報セキュリティポリシーは、リスク分析を行った上で策定されます。

具体的には、自社にどのような情報資産があり、それらに対してどういった脅威の発生が想定されるか、といったことを分析し、優先順位をつけます。

これにより、外部攻撃や内部不正、人的ミスなどのさまざまな脅威から情報資産を守るための高いセキュリティ対策を講じることができます。

有事の際に迅速な対応が可能になるから

情報セキュリティポリシーでは、セキュリティ事故が発生した際にどのような手順で対処すべきかも示されています。

例えば

  1. ランサムウェアに感染した場合は速やかに感染端末をネットワークから切り離し、セキュリティ担当者に報告する
  2. その際、感染した疑いがあるネットワークは使用しない
  3. 被害の拡大を防いだら、感染範囲を確認し情報の記録を行う

などを情報セキュリティポリシーに記載しておけば、有事の際も速やかに対応することができます。

従業員のセキュリティ意識の向上が図れるから

情報セキュリティポリシーを策定し、企業・組織全体に浸透させることは、従業員のセキュリティ意識の向上にもつながります。

というのも、情報セキュリティポリシーでは、「どういった情報を」「どのように守らなければいけないのか」が理由とともに具体的に示されています。

これにより、情報の扱い方に注意したり、情報漏洩につながるような行為を避けたりすることにつながります。

情報セキュリティポリシーの内容


情報セキュリティポリシーは内容が多岐にわたるため、大枠となる大項目を策定してから詳細を詰めることになります。

情報セキュリティ基本方針

組織として情報セキュリティに取り組む方針を策定した基本的な文書です。
自社のホームページやコーポレートサイトで公開し、顧客や取引先に自組織の考え方を伝える役割も持ちます。

情報セキュリティ方針

情報セキュリティマネジメントをするための社内体制や役割、責任を記載した文書です。

情報セキュリティポリシーを策定・運用する上で、各文書や業務範囲の責任者を明確にすることが大切です。

責任者が明確になることで、該当ポリシーの意図や課題の把握、必要に応じた修正を行ないやすくなるのです。

情報セキュリティ対策規定

実際に取り組むセキュリティ対策を記載する文書です。

ウイルス対策ソフトの導入、ファイアウォールやIDSなどのセキュリティ製品、各IT機器の管理・運用方法も含まれます。

情報セキュリティ対策手順書

情報セキュリティ対策を行うために利用するソフトウェアやハードウェアの操作手順書です。
目的に応じた機器の設定や、ウイルス対策ソフトやOSの更新適用作業など、実際にその手順書を見ながら作業することを想定して作成します。

記録、台帳類

情報セキュリティポリシーを適用する資産の台帳や、実施した内容の記録です。

作業の実行ログや資産管理台帳が該当します。
参考:JNSA 情報セキュリティポリシーサンプル

上述の他にも、「基本方針」「対策基準」「実施手順・運用規則」の3段階で構成する方法もあります。
自組織にマッチした構成を選択するとよいでしょう。

情報セキュリティポリシー策定手順


従業員全員に適用される情報セキュリティポリシーには、部門間の連携を意識した体制や、明確な行動手順が必要です。
策定の手順は組織の規模や職種によっても大きく異なりますが、はじめから情報セキュリティポリシーを策定する手順の一例を紹介します。

1.情報セキュリティポリシー管理体制の構築

組織的にセキュリティマネジメントを行うための体制です。

策定されたセキュリティ方針を具体的な行動に落とし込み、それぞれの責任者を選定します。

情報セキュリティポリシーを適用する範囲や、役割分担もここで決定します。

前述の「情報セキュリティ方針」に該当します。

2.情報セキュリティ方針の策定

情報セキュリティの維持・運用を、経営層などのトップマネジメント層が、「自らの責任」で宣言することが重要です。

この宣言が記載されたセキュリティ基本方針から組織の情報セキュリティポリシー策定・運用が始まります。

前述の「情報セキュリティ基本方針」に該当します。

3.情報資産の洗い出し・リスクの分析

組織が保持する情報資産を洗い出し、それを取り巻くリスクを分析します。

それぞれのリスクがどの程度の脅威なのかを把握することでセキュリティ対策の優先順位が決まり、決められた予算の中でどのような対策を講じるべきなのかを明確にすることができます。

前述の「情報セキュリティ対策規定」に該当します。

4.脅威とリスクに対する対処の文書化

リスクに対してどのようなセキュリティ対策を行うのかを決定し、それを文書化します。

利用するセキュリティ製品やその運用方法を明確にすることで、組織のセキュリティ対策が具体的なものになります。

前述の「情報セキュリティ対策規定」「情報セキュリティ対策手順書」に該当します。

5.従業員への周知・教育

従業員へ情報セキュリティポリシーの内容を周知し、それを間違いなく遵守できるよう教育を行います。

情報セキュリティポリシーは従業員が遵守しなければ、期待した効果を発揮することができません。

ルールを遵守する重要性、ルール違反のリスクや組織内でのペナルティを明確に伝えましょう。

6.情報セキュリティポリシーの運用

情報セキュリティポリシーに準拠した形で、実際に業務を行います。

策定当初は実務上の不都合や情報セキュリティポリシーの不備が発見されることも珍しくありません。

組織の方針を逸脱する業務内容であれば業務の見直し、セキュリティ上の問題が現実にない実務との乖離であれば情報セキュリティポリシーの変更等、柔軟に対応します。

7.情報セキュリティポリシーのメンテナンス

時間が経つにつれて、新しいサービスの利用や新規ビジネスなど組織の環境は変化します。

情報セキュリティポリシーも組織の実情に即した内容とするためには、日常的に改善する必要があるでしょう。

一般的には「PDCAサイクル」と呼ばれる手法で、情報セキュリティポリシーの改善を実施します。
これが、いつでも従業員が情報セキュリティポリシーを意識し、組織全体で一貫したセキュリティ環境を実現することに繋がります。

情報セキュリティポリシーの策定は、多くの時間や工数が必要です。
しかし、適切な情報セキュリティポリシーは組織の信用度を向上させ、セキュリティインシデントの発生を抑制してくれます。

情報セキュリティポリシー策定の留意点


情報セキュリティポリシーは内容が多岐にわたります。
組織が定めた方針に沿って、部門や現場ごとの実情に合わせた基準や手順を策定するとよいでしょう。

策定のポイント

下記のポイントを意識することで情報セキュリティポリシーの形骸化を防ぎ、従業員のポリシーを遵守する意識向上に繋がります。

  1. 具体的な内容を記載する
    情報セキュリティポリシーに記載されている内容が曖昧であると、個人によって異なる解釈をされ、組織が意図した方針から逸脱してしまう恐れがあります。
    例えば、「システムを利用するアカウントには堅牢なパスワードを設定する」ではなく、「○○システムを利用するアカウントには8文字以上で数字と記号を含めたパスワードを設定する」などです。
  2. 情報セキュリティポリシーを維持・改善する体制を整える
    組織の業務全体を包括する情報セキュリティポリシーは、常に組織の現状に即した内容となっている必要があります。
    情報セキュリティポリシー運営に必要な業務の責任者や各文書の責任者を明確にすることで、漏れや不備を減らすことに繋がります。
  3. 適用範囲の明確化
    策定された情報セキュリティポリシーが適用される情報資産や対象者の範囲を明確に定めます。
    情報資産であれば組織が保有する個人情報や社内情報などの機密情報、対象者は基本的に従業員全員とし、必要に応じて協力会社など外部の要員も含めます。

情報セキュリティ基本方針の文章例

基本方針は、組織として世の中へ宣言する意思表明とも言えるため、誤解を与えかねない表現や基本的な考え方の欠如は信用度の低下に繋がりかねません。

体制や手順は組織により大きく異なりますが、多くの組織で参考にできる基本方針のサンプルをIPAが公開しています。

参考:IPA 中小企業の情報セキュリティ対策ガイドライン

情報セキュリティポリシーに違反したデバイスが一目でわかるLANSCOPEエンドポイントマネージャークラウド版


エムオーテックスが提供している「LANSCOPEエンドポイントマネージャークラウド版」では、取得した資産情報をもとに、セキュリティポリシーに違反したデバイスをひと目で把握することが可能です。

またアラート内容を管理者にメールで定期通知することもでき、多忙な管理者様でも負担が少ないデバイス管理を支援します。

LANSCOPEエンドポイントマネージャークラウド版の詳細につきましては、下記の製品ページをご覧ください。

関連ページ

LANSCOPEエンドポイントマネージャークラウド版について

組織のセキュリティを担保する情報セキュリティポリシー

本記事では「情報セキュリティポリシー」をテーマに、必要性や策定時のポイントなどを解説しました。

本記事のまとめ

  • 情報セキュリティポリシーとは、企業・組織が実施する情報セキュリティ対策の方針や行動指針
  • 情報セキュリティポリシーを策定することで「情報資産の保護」「有事の際の迅速な対応」「従業員のセキュリティ意識の向上」などが可能になることから、その必要性は年々高まっている
  • 情報セキュリティポリシーに含むべき項目としては「情報セキュリティ基本方針」「情報セキュリティ方針」「情報セキュリティ対策規定」「情報セキュリティ対策手順書」「記録、台帳類」などがある
  • 情報セキュリティポリシーを策定するポイントして「具体的な内容を記載する」「セキュリティポリシーを維持・改善する体制を整える」「適用範囲の明確化」などが挙げられる

情報セキュリティポリシーは、セキュリティの土台として大きな効果を発揮します。

企業・組織は一丸となって策定および運用を行い、保有する情報資産を守っていきましょう。

テレワーク端末はどう守る?情報セキュリティ10大脅威と分散する端末を守る方法【2022年最新版】

資料をダウンロードする