近年悪質化するサイバー犯罪から大切な情報を守るため、民間企業のみならず、公的機関もあらゆるセキュリティ対策を講じています。
そして、内閣は各省庁に対して「情報セキュリティポリシーに関するガイドライン」を発行しています。
このガイドラインは、民間企業でも使用できるものです。
しかし、民間企業からは目的がわからなかったり、策定が進んでいなかったりなどの声が挙がっています。
そこで、本記事では中小企業向けに、情報セキュリティポリシーの目的や必要性と、策定にあたってのポイントを解説します。
情報セキュリティポリシーとは
情報セキュリティポリシーとは、簡単に説明すれば、企業が情報漏洩やサイバー攻撃から各種情報を守るための防御策を一般に対して宣言したものです。
おおよそ以下の2点を総称したものを指します。
- 情報セキュリティ基本方針
- 情報セキュリティ対策基準
① 情報セキュリティ基本方針
情報セキュリティポリシーの骨組みとなる部分です。
特定の情報に対して、どんな脅威から、なぜそれを保護しなければならないのかを明らかにしたもので、組織の情報セキュリティポリシーに対する姿勢を示しています。
② 情報セキュリティ対策基準
情報セキュリティ基本方針を実際に行動に移すための基準です。
組織として守らなければならない行為やその判断基準が示されています。
この2点に沿った具体的な方策が組まれており、情報セキュリティポリシーが運用されているのです。
情報セキュリティポリシーの目的・必要性
情報セキュリティポリシーを策定する1番の目的は、サイバー攻撃や情報漏洩といった脅威から組織を守るためです。
悪質化するこれらの問題に対して、企業としての行動指針を表す宣言となります。
また、その他にも組織にとって必要な設備を整えたり、仕組みを作ったりするうえでの基準になります。
策定しない場合のリスク
- サイバー攻撃への対策が疎かになる
- 人為的ミスによる情報漏洩が発生しやすくなる
情報セキュリティポリシーとはサイバー攻撃や情報漏洩から組織、顧客を守るためのガイドラインです。
策定しない場合、情報セキュリティのルールは個人の感覚となってしまいます。
情報の管理者資格やそれに準ずる知識を持っているのならまだしも、組織全員が同じ知識を持っていることはありません
また、一般に向けて宣言し、組織内で実行しているのとそうでないのとでは、組織に対する信頼度が変わります。
つまり、情報セキュリティポリシーを策定しないことは、ほとんどのケースでデメリットになると言えます。
サイバー攻撃への対策が疎かになる
サイバー攻撃での情報漏洩は1割未満ですが、発生件数は年々増加しているため、決して疎かにできるものではありません。
ガイドラインが策定されていないと、万が一攻撃を受けた場合、組織としての対策や設備、対応する仕組みが不十分で対処できなくなる可能性があります。
しかし、情報セキュリティポリシーが定まっていれば、これに沿った形で対策を講ずることができます。
人為的ミスによる情報漏洩が発生しやすくなる
組織における情報漏洩は、個人の人為的ミスによるものが ほとんどだと言われています。
NPO『日本ネットワークセキュリティ協会』が実施した調査によると、管理ミスや誤操作、紛失・盗難による情報漏洩が全体の9割近くを占めることがわかりました。
これらの問題点を解決するためにも、組織における情報管理のルールを情報セキュリティポリシーに基づいて策定し、組織内で順守する必要があるのです。
参照元URL
https://www.jnsa.org/result/incident/2010.html
情報セキュリティポリシーの主な内容
情報セキュリティポリシーの主な内容は、どこも大きな違いはありませんが、対策範囲や行動指針はそれぞれの企業によって全く異なります。
また、情報セキュリティポリシーに「実施手順」を追加することはとても重要です。
実施手順を追加することで、単なる行動目標だけにならず、組織が共通の認識を持って対策を講じることができます。
ここからは、情報セキュリティポリシーの主な内容をご紹介いたしますので、ぜひ参考にしてみてください。
情報セキュリティ基本方針
ポリシーとも呼ばれる、情報セキュリティポリシーのもっとも大切な部分です。
なぜそれが必要なのか、方針はどうするのかといった内容を事細かに決めたものを指します。
主に情報セキュリティポリシーの対象となる範囲や人物、管理体制や組織内での役割、違反者への対応などになります。
情報セキュリティ対策基準
スタンダードと呼ばれる、基本方針をもとに作られるルールブックのことです。
ルールブックと表現した通り、ネットワークへの入退出管理の基準や組織内のセキュリティ使用上の教育、ネットワーク利用基準を定めたものになります。
実施手順
正確には情報セキュリティポリシーの作成上必須の項目ではありません。
しかし、運用するうえでカギになってくるのは組織に属する個人になります。
その個人に対して、疑問を解決するマニュアルを定めるのが実施手順です。
プロシージャと呼ばれ、代表的なものにウイルス対策ソフトの導入手順が挙げられます。
情報セキュリティポリシー策定のポイント
実際にこれらを策定するためには、具体的にどのような方法で行えば良いのでしょうか。
本章では、情報セキュリティポリシーの策定方法について解説していきます。
まだ情報セキュリティポリシーの策定をされていない場合はもちろん、今後見直す場合にも、ぜひご参考ください。
策定に向けた組織編成
情報セキュリティポリシーを1人で策定することはできません。
その理由は、このルールの策定に関係するのは組織全体だからです。
そして、策定後に運用して行くのは組織に属する全員が対象となります。
一方で、外部のコンサルタントに丸投げしてしまうのもおすすめはできません。
組織によって、どこまでを範囲とするのか、誰を対象とするのかといった問題の解決にはつながらないからです。
外部の有識者という立ち位置でコンサルタントには参加してもらうのがベストです。
そのため、情報資産を守るための策定委員は社内人材で確保することを意識しましょう。
委員会の人事に関しては、おおよそ以下のような人員配置が行われています。
あくまでも例ですが参考にしてみてください。
- 委員長(統括責任者)
- 副委員長(部門長)
- 委員(各部門の代表者)
- 事務局
守る対象を明確化する
情報セキュリティポリシーにおいて、どの情報を守るのかを決めるのは大切な問題です。
顧客・社員の個人情報をはじめとする情報資産は当然該当します。
また、社内データが入ったCD-ROMやHDDを含めるのかどうかは、各組織によって異なるでしょう。
守る対象にはデータベースそのものから、記録媒体、紙資料に至るまで、存在する組織内の資料のうちどこまでを対象とするのかを明確にさせる必要があるのです。
対象者を明確化する
情報セキュリティポリシーの適用範囲は、組織に属する全員が対象と言ってもいいでしょう。
そのため、「誰が」「何を」「どのように」対象となる情報に触っているのかを知る必要があります。
これらが明確になっていないと、情報セキュリティポリシーが策定されたとしても、どこかで持ち出しなどの抜け穴ができてしまうからです。
抜け穴を作らないために、完成したルールの適用範囲となる人物をあらかじめ決めておくことも重要なのです。
内容は具体的にする
策定された情報セキュリティポリシーは、全て具体的である必要があります。
曖昧な箇所があると、そこが抜け穴となってしまい、情報漏洩などのリスクにつながる可能性があります。
以下はその具体的に策定された対策の一例です。
- パスワードは最低8文字以上にすること
- アルファベットおよび数字を必ず1文字以上含むこと
- パスワードは1ヶ月に1回更新すること
策定後も改善を続ける
情報セキュリティポリシーは、1回策定すれば良いというものではありません。
総務省の関連するページにも、運用にはPDCAサイクルを用いることが奨励されています。
PDCAサイクルとは、Plan(計画)→Do(行動)→Check(確認・評価)→Action(改善)を常に繰り返すことを指します。
この動作を繰り返すことにより、より強固な体制が出来上がります。
日々深刻化するサイバー攻撃や、運用上の問題点を洗い出し、改善していくことが重要なのです。
情報セキュリティポリシーのサンプルを参照できるサイト
情報セキュリティポリシーにはひな型が存在しません。
策定するにあたり、どのようにまとめればよいかの基準がないと、組織によっては大きな問題でしょう。
以下に、ルールを明文化するためのサンプルとなるサイトをご紹介いたします。
日本セキュリティネットワーク協会(JNSA)
独立行政法人 情報処理推進機構(IPA)
まとめ
サイバー攻撃や情報漏洩のリスクを減らすには、個人の努力も必要ですがそれだけでは限界があります。
そのため、組織としてガイドラインである情報セキュリティポリシーを策定することで、組織一丸となってこれらの問題に取り組むことができます。
策定をまだしていない組織には、これから策定の労力がかかるかもしれません。
しかし、大切な情報の保護や人為的ミスの削減、何よりも組織に対する安心感を得ることができます。
こだまシステムでは、情報セキュリティポリシーの策定サポートも行っており、政府金融系のシステム開発・運用で培ってきたノウハウがあります。
セキュリティ対策においては専門分野となりますので、情報管理についてご不安なことがございましたら、お気軽にお問い合わせください。
