Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
セキュリティに対する意識が、企業や個人を問わず高まり続けている現代では、情報漏洩を防ぎ、安全な業務環境を構築することは組織の責務と言っても過言ではないでしょう。
実際に多種多様なセキュリティ製品が提供されており、サイバー攻撃や内部不正にも大きな効果を発揮しています。
しかし、高性能なセキュリティ製品を導入しても、組織の意識が成熟していなければ大きなセキュリティインシデントが発生するリスクは低くなりません。
この記事では、組織の一貫したセキュリティ環境を構築・運用するセキュリティポリシーを策定するためには何をすればよいのかを解説します。
情報セキュリティポリシー策定・運用のための体制
情報セキュリティポリシーを組織的にマネジメントするためには、そのための体制づくりが必要です。
情報セキュリティポリシーは組織の業務全体に関わり、内容も多岐にわたります。
全従業員が遵守するルールとなるため、策定にはIT部門やセキュリティ部門の他に、管理部門との連携を意識した人員を選定することが大切です。
また、情報セキュリティポリシーを組織の実情に合わせて更新するためには、現場従業員の協力が必須です。
組織のセキュリティ方針が従業員へ正しく伝わり、従業員からの課題報告や改善案が経営層へ届かなければなりません。
情報セキュリティポリシー策定後の運用も意識した体制を構築することが求められます。
策定するべき内容
情報セキュリティポリシーは内容が多岐にわたるため、大枠となる大項目を策定してから詳細を詰めることになります。
- 情報セキュリティ基本方針
組織として情報セキュリティに取り組む方針を策定した基本的な文書です。
自社のホームページやコーポレートサイトで公開し、顧客や取引先に自組織の考え方を伝える役割も持ちます。 - 情報セキュリティ方針
情報セキュリティマネジメントをするための社内体制や役割、責任を記載した文書です。
情報セキュリティポリシーを策定・運用する上で、各文書や業務範囲の責任者を明確にすることが大切です。
責任者が明確になることで、該当ポリシーの意図や課題の把握、必要に応じた修正を行ないやすくなるのです。 - 情報セキュリティ対策規定
実際に取り組むセキュリティ対策を記載する文書です。
ウイルス対策ソフトの導入、ファイアウォールやIDSなどのセキュリティ製品、各IT機器の管理・運用方法も含まれます。 - 情報セキュリティ対策手順書
情報セキュリティ対策を行なうために利用するソフトウェアやハードウェアに対して行なう操作の手順書です。
目的に応じた機器の設定や、ウイルス対策ソフトやOSの更新適用作業など、実際にその手順書を見ながら作業することを想定して作成します。 - 記録、台帳類
セキュリティポリシーを適用する資産の台帳や、実施した内容の記録です。
作業の実行ログや資産管理台帳が該当します。
上述の他にも、「基本方針」「対策基準」「実施手順・運用規則」の3段階で構成する方法もあります。
自組織にマッチした構成を選択するとよいでしょう。
セキュリティポリシー策定手順
従業員全員に適用されるセキュリティポリシーには、部門間の連携を意識した体制や、明確な行動手順が必要です。
策定の手順は組織の規模や職種によっても大きく異なりますが、はじめからセキュリティポリシーを策定する手順の一例を紹介します。
- セキュリティポリシー管理体制の構築
組織的にセキュリティマネジメントを行なうための体制です。
策定されたセキュリティ方針を具体的な行動に落とし込み、それぞれの責任者を選定します。
セキュリティポリシーを適用する範囲や、役割分担もここで決定します。
前述の「情報セキュリティ方針」に該当します。 - 情報セキュリティ方針の策定
情報セキュリティの維持・運用を、経営層などのトップマネジメント層が、「自らの責任」で宣言することが重要です。
この宣言が記載されたセキュリティ基本方針から組織のセキュリティポリシー策定・運用が始まります。
前述の「情報セキュリティ基本方針」に該当します。 - 情報資産の洗い出し・リスクの分析
組織が保持する情報資産を洗い出し、それを取り巻くリスクを分析します。
それぞれのリスクがどの程度の脅威なのかを把握することでセキュリティ対策の優先順位が決まり、決められた予算の中でどのような対策を講じるべきなのかを明確にすることができます。
前述の「情報セキュリティ対策規定」に該当します。 - 脅威とリスクに対する対処の文書化
リスクに対してどのようなセキュリティ対策を行なうのかを決定し、それを文書化します。
利用するセキュリティ製品やその運用方法を明確にすることで、組織のセキュリティ対策が具体的なものになります。
前述の「情報セキュリティ対策規定」「情報セキュリティ対策手順書」に該当します。 - 従業員への周知・教育
従業員へ情報セキュリティポリシーの内容を周知し、それを間違いなく遵守できるよう教育を行ないます。
セキュリティポリシーは従業員が遵守しなければ、期待した効果を発揮することができません。
ルールを遵守する重要性、ルール違反のリスクや組織内でのペナルティを明確に伝えましょう。 - セキュリティポリシーの運用
セキュリティポリシーに準拠した形で、実際に業務を行います。
策定当初は実務上の不都合やポリシーの不備が発見されることも珍しくありません。
組織の方針を逸脱する業務内容であれば業務の見直し、セキュリティ上の問題が現実にない実務との乖離であればポリシーの変更等、柔軟に対応します。 - セキュリティポリシーのメンテナンス
時間が経つにつれて、新しいサービスの利用や新規ビジネスなど組織の環境は変化します。
情報セキュリティポリシーも組織の実情に即した内容とするためには、日常的に改善する必要があるでしょう。
一般的には「PDCAサイクル」と呼ばれる手法で、セキュリティポリシーの改善を実施します。
これが、いつでも従業員がセキュリティポリシーを意識し、組織全体で一貫したセキュリティ環境を実現することに繋がります。
セキュリティポリシーの策定は、多くの時間や工数が必要です。
しかし、適切なセキュリティポリシーは組織の信用度を向上させ、セキュリティインシデントの発生を抑制してくれます。
セキュリティポリシー策定の留意点
情報セキュリティポリシーは内容が多岐にわたります。
組織が定めた方針に沿って、部門や現場ごとの実情に合わせた基準や手順を策定するとよいでしょう。
策定のポイント
下記のポイントを意識することでセキュリティポリシーの形骸化を防ぎ、従業員のポリシーを遵守する意識向上に繋がります。
- 具体的な内容を記載する
セキュリティポリシーに記載されている内容が曖昧であると、個人によって異なる解釈をされ、組織が意図した方針から逸脱してしまう恐れがあります。
例えば、「システムを利用するアカウントには堅牢なパスワードを設定する」ではなく、「○○システムを利用するアカウントには8文字以上で数字と記号を含めたパスワードを設定する」などです。 - セキュリティポリシーを維持・改善する体制を整える
組織の業務全体を包括するセキュリティポリシーは、常に組織の現状に即した内容となっている必要があります。
セキュリティポリシー運営に必要な業務の責任者や各文書の責任者を明確にすることが、セキュリティポリシーの漏れや不備を減らすことに繋がります。 - 適用範囲の明確化
策定されたセキュリティポリシーが適用される情報資産や対象者の範囲を明確に定めます。
情報資産であれば組織が保有する個人情報や社内情報などの機密情報、対象者は基本的に従業員全員とし、必要に応じて協力会社など外部の要員も含めます。
情報セキュリティ基本方針の文章例
基本方針は、組織として世の中へ宣言する意思表明とも言えるため、誤解を与えかねない表現や基本的な考え方の欠如は信用度の低下に繋がりかねません。
体制や手順は組織により大きく異なりますが、多くの組織で参考にできる基本方針のサンプルをIPAが公開しています。
組織のセキュリティを担保するセキュリティポリシー
セキュリティ意識が高まっている現代では、ひとたび情報漏洩を起こしてしまうと組織の信用は失墜し、時には事業継続が困難なほどのダメージを被ります。
非常に高い頻度で新しいサイバー攻撃が生まれているうえ、内部不正などのリスクにも対処するためには、組織が一丸となって適切なセキュリティ環境を構築し、維持することが求められます。
適切に運用されているポリシーは、セキュリティの土台として大きな効果を発揮します。
テレワークなど働き方の多様化が進んでいる現代では、情報セキュリティポリシーの必要性も高まっているのではないでしょうか。
関連する記事
