企業における「セキュリティポリシー」に関して、詳細をよく把握していないという人もいるでしょう。セキュリティポリシーについては規定をしっかりと策定すると共に、その内容を確実に遂行するための業務体制を整えることも必要です。
ITシステムの運用保守といった業務に割ける担当者の余裕がない場合、セキュリティポリシー実行のための人員をアウトソーシングすることも検討してみましょう。この記事では、セキュリティポリシーの重要性や策定時に押さえておきたいポイントなどを紹介していきます。
□■□■IT保守業務やキッティング、社内ヘルプデスクなどのお悩みやお困りごと、コスト削減をお考えなら、解決できます!まずはITボランチへご相談(無料)ください。お問い合わせはこちらから□■□■
Contents
情報セキュリティポリシーとは?
セキュリティポリシーとは、「組織における情報セキュリティについてのルール・方針」です。セキュリティポリシーは情報を扱うのが当たり前になっている現代で、IT資産を正しく管理して活用するためにも重要になってきています。
セキュリティポリシーでは
- システムエラーに関して起こる情報漏洩
- ヒューマンエラーや人為的に起こる個人情報流出
といった問題に対応するためのルールを策定していくのがポイントです。
現代では人員が整っている大手企業ですら、上記のトラブルを起こしてしまい一大インシデントになる事例も珍しくありません。そこで中小企業でもルールだけでなくそれを回す人員の確保、さらに確保できても安心せずにITリテラシーの向上等で確実にトラブルを防ぐ対策までが必要になってきます。そしてセキュリティポリシーは、IT関連のトラブルへ対応するための基本的な指針となるのがポイントです。
情報セキュリティポリシーをなぜ策定する必要がある?
セキュリティポリシーを策定する理由を具体的に解説していきます。
情報漏洩を防止する
ITシステムやインターネット回線などのIT資産を、ビジネスで使わないことは現代では考えられません。わざわざIT資産管理にのみ対象を絞って管理のノウハウを共有するケースが多いほど、IT資産は重要になってきています。
IT資産を扱う上で、最も気を付けなければならないことの1つに情報漏洩があります。情報漏洩はひとたび起こってしまうと何万人、何十万人の情報が漏洩してしまい悪用される危険性を秘めています。また中小企業では大手企業よりセキュリティ体制が緩い事例が多く、情報漏洩のインシデントが発生帝も後手に回ってしまうなどのリスクがある点もポイントです
情報の取り扱い方をテキストとして具体的に決定して共有することで、情報漏洩を未然に防ぎながら万が一起こった際にもスピーディーな対応を行えます。事前対策と事後対策、両方が備わっているセキュリティポリシーが完全なルールとして機能すると言ってよいでしょう。
内部の犯行を未然に防ぐため
残念なことに、企業に対する攻撃は外部からだけではないのです。
内部、すなわち社内の従業員や関係者の犯行もゼロではありません。
いくら外部からの攻撃の対策をしていても、社内の人間が機密データを持ち出せるような状態の管理体制になっていては意味がありません。
従業員が悪意を持って、機密情報を外部に流出させる事例も少なくないことから、内部の統制も必要です。
社内の業務システムやオンプレミス、クラウドサーバーを管理する情シス部署や、重要な情報を取り扱いやすい部署など従業員へのセキュリティポリシー遵守の徹底をして、犯行を未然に防ぐ必要があります。
サイバー攻撃による被害から会社を守るため
標的型攻撃やフィッシング詐欺など、サイバー攻撃はビジネス業界でも後を絶ちません。攻撃を受けることで情報漏洩が意図的に発生したり、また情報を悪用されてなりすまし被害が発生する、といったトラブルが発生する可能性があります。
クラウドシステム活用や常時インターネット接続の体制が当たり前になっている現代では、いつもサイバー攻撃のリスクを考えておかないといけません。中小企業の場合「うちは標的型攻撃などを受けるほど大きくない」と思っていても、大手企業と関係性があるといった要因があると簡単にサイバー攻撃を受けてしまうリスクがあるので注意が必要です。
サイバー攻撃の種類は技術に頼ったものからそうではないが引っ掛かりやすいものまで、多種多様です。技術面・非技術面の両方でセキュリティ対策を考えてルールへ落とし込み、セキュリティポリシーとして機能させるようにしておきましょう。
サイバー攻撃についての詳細は「サイバー攻撃に企業規模は関係無い?巧妙化・高度化するサイバー攻撃の目的とは?」の記事で紹介しています。
情報セキュリティポリシーに盛り込む必要がある内容
セキュリティポリシーには主に
- 基本方針
- 対策基準
- 実施手順
の3項目を盛り込む必要があります。
全体像となる「基本方針」
基本方針は、企業が組織としての全体的なセキュリティポリシーへの方向性を定めて発表する部分です。
- セキュリティポリシーを定める背景
- セキュリティポリシーに対する自社概念
- セキュリティポリシーが適用される対象者
- 違反した場合の処罰内容
といった概要をここに記載していきます。
セキュリティポリシーをなぜ定めておくのか、また自社はどのようなアプローチで取り組むのかを明言して理解を得ます。また適用対象者についても明記して関係者へ注意を促し、違反した場合はどう対応がなされるのかを処罰内容として記載するのもポイントです。
具体的なガイドラインとなる「対策基準」
対策基準では、具体的な対策基準等へ踏み込んでいきます。基本方針からつなげながら、実際にどうやって対策を行っていくのかを説明していきます。
- システムの開発
- サーバーの保守・運用
- ネットワーク管理
- セキュリティ研修
- 他社との契約
といったITが関係してくる分野に対して、それぞれガイドラインを設けながら適切な対策方法を定めて記述していくのがポイントです。
対策基準については、部署または部門ごとに分割しながら決定することが多いです。またガイドラインごとに
- 各セキュリティに関する適切な判断基準
- 違反してしまった場合の具体的な罰則
といった、基本方針で説明しきれなかった内容も詳しく説明を行いましょう。
マニュアル的な意味を持つ「実施手順」
実施手順では上記で定めた対策基準も参考にしながら、さらに具体的な実施方法を示していきます。
たとえばサーバーの保守・運用では
- いつのタイミングで行うのか
- 点検項目はどこか
- 問題があった場合はどうやって報告するのか
- セキュリティが確保されていることをどうやってレポーティングするのか
といった内容をテキスト化して、マニュアルへしていきます。マニュアルについては対象者全員が分かりやすいものにする必要があるのがポイントです。複雑で分かりにくい説明にならないようシンプルに理解できるような表現を行うといった工夫を行いましょう。
セキュリティポリシーの構成例
セキュリティポリシーの構成例については、たとえば「日本ネットワークセキュリティ協会(JNSC)」が例文を公開しています。この例文は時代に応じて改定が行われており、2022年から提供されているので大変参考になるのがポイントです。多くの企業はこの例文を参考にセキュリティポリシーの基本形を策定しています。
- 情報セキュリティ基本方針
- 文書管理規程
- システム変更管理規程
といった幅広い分野でのサンプルがPDFで無料公開されているので、ダウンロードしてみてください。
また「独立行政法人 情報処理推進機構(IPA)」も、同じようにサンプル事例を公開しています。JNSCの例文と併せて参考にすることで、さらにセキュリティポリシーの実効性が上がるでしょう。こちらはPDFやWord形式などで、関連文書をダウンロード可能です。
情報セキュリティポリシーを策定する際のポイントとは
ここからは、セキュリティポリシーを確実に策定する際のポイントをご紹介していきます。
守るべき情報を明らかにする
まずは守るべき情報資産を明らかにしていきましょう。情報資産を明確化して分かりやすくジャンル別に記載していくことで、セキュリティポリシーに関する管理対象や行動理由を関係者へ周知できるのがポイントです。
たとえば
- 利用中のITクラウドツール内の顧客履歴
- 各従業員のPC・スマートフォンの情報
- OCRで取得してデジタル化した文書情報
といった対象が管理対象として挙げられます。
業種や業務内容によっても管理すべき情報の対象が違ってくるので、地道な洗い出しを忘れないようにしましょう。
適用されるのが誰かをはっきりさせる
セキュリティポリシーの適用者についてもはっきりさせておきましょう。適用範囲を明確にして曖昧になるのを防ぐことで、外部への情報漏洩を確実に防げます。
基本的には従業員や関係者全員が適用する範囲となります。ただし具体的な適用内容は立場ごとに少々異なる可能性があるでしょう。そこで各対象者ごとにどのように適用されるのかを分けて記述することで、的確な対応を促せるのがポイントです。
責任の所在をクリアにする
セキュリティポリシーの責任所在を明確にするのも重要です。インシデント発生時等に責任者が決まっていないと、誰の責任で対応すればよいのかが分からなくなります。
責任の所在を明確にするために、まずセキュリティポリシー管理用の運用部門やプロジェクトを立ち上げておきましょう。立ち上げには現場だけでなく、経営層までかかわる必要があります。経営層もセキュリティポリシーの対象であり、内外へ発信する内容であるため精査が必要だからです。
部門やプロジェクトの中心人物には、現場・経営層両方に働きかけのしやすい人材を添えてみてください。
具体的に細かく記載する
セキュリティポリシーについては曖昧さを一切排しながら、誰にでも分かりやすいような文章作りを心掛けないといけません。また確認したらすぐ実行に移せる実現性の高さもポイントです。そこで具体的に細かく記載する上で下記のような項目をチェックして意識をしておきましょう。
- 数字を用いて具体的に行動を定める
- 専門用語を使わず平易な表現をする
- 難しい部分は詳しく解説を行う
- 図形等を駆使して具体例を提示する
- 手順の進み方を箇条書きで説明する
細かい内容を検討する際は、先ほどご紹介した各サンプルを確認してみましょう。
適宜内容を見直す
セキュリティポリシーに関する内容は時間が経過すれば見直しを行う必要があります。実際に遭遇したインシデントによってまた対応が追加・変更される可能性がありますし、ITというのは根本的に新しい技術・ツールが次々に登場して対応に追われるからです。
定期的な見直しの際は、PDCAサイクルを意識してみましょう。日本で昔から使われているPDCAサイクルは3か月や6か月といった期間ごとの細かい見直しに役立ちます。
- 検討案を基にした実際の計画策定
- 計画を基にした運用・実施
- 運用や実行で発生した課題洗い出し
- 課題を基にした改善策の検討
といったPDCAでよりよいセキュリティポリシーを作ってみましょう。
担当部門を強化し体制を整える
セキュリティポリシーに関しては計画を策定・実行するだけでなく、運用にかかわる運用保守・IT資産管理といった各部門の強化を適宜行うのが重要となってきます。業務体制を根本的に見直し強化することで、より未然の情報漏洩等の防止へつながります。
また情報漏洩等の防止等に関しては、IT専門以外の業種に対してもITリテラシーの向上を行うのが重要です。組織全体のITリテラシーやセキュリティ意識が整備されることでセキュリティポリシーへの理解度が上がりますし、組織力自体も底上げされて信頼性まで上がるでしょう。
情報セキュリティポリシーを適切に運用するために
今回はセキュリティポリシーへの対応方法などを明記してきました。セキュリティポリシー運用に関しては明確なルール策定だけでなく、責任所在をはっきりさせた上での組織体制整備・強化も重要になってきます。
中小企業の場合、社内に担当者や担当部門を常設するのが難しいケースもあるでしょう。その場合は足りない人員をアウトソーシングという形で補強することも可能です。
当社のIT保守サービスであるITボランチではIT資産の保守・管理をアウトソースいただけます。中小企業の課題に関してもご相談に応じさせていただきますので、ぜひご利用ください。
初回のご相談は無料となっておりますので、お気軽にご連絡ください。