お役立ち資料
Introduction
情報セキュリティポリシーは、企業や組織が情報セキュリティ対策を行ううえで、決めておくべき方針や行動指針のことです。情報セキュリティポリシーを定めておくことで、企業や組織のセキュリティレベルを高めることが可能です。
この記事では、情報セキュリティポリシーについて、企業にとってのメリット、構成や策定する流れなどについて解説します。情報セキュリティポリシーを策定していない場合は、この記事を参考にしてみてください。
目次
情報セキュリティポリシーとは?
組織や企業などが策定する、情報セキュリティ対策に関する方針や行動指針を表したものが、情報セキュリティポリシーです。
ここでは、情報セキュリティポリシーとは具体的にどのようなものか、なぜ必要とされているのかについて解説します。
企業や組織における情報セキュリティ対策の方針・行動指針のこと
情報セキュリティポリシーは、企業や組織が情報セキュリティ対策を行ううえで、決めておくべき方針や行動指針のことです。
総務省の『国民のためのサイバーセキュリティサイト』によると、以下のように定義されています。
情報セキュリティポリシー
情報セキュリティポリシーとは、企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。
セキュリティ対策を考える際には、どのように企業や組織の情報資産を守るべきなのかという基本的な考え方が必要です。その考え方に基づき、組織内の体制づくりや運用を行う際の規定、基本的な方針、対策の基準などを決めていく必要があります。
そのような方針や行動指針をまとめたものが、情報セキュリティポリシーです。情報セキュリティポリシーは、企業や組織の規模、体制、業務内容、システム構成などによって、それぞれ異なります。それぞれの組織にあった情報セキュリティポリシーを策定し、必要に応じて改定していく必要があります。
情報セキュリティポリシーが必要とされている背景
情報セキュリティポリシーは、企業が被る不利益を避けるために必要なものです。情報セキュリティポリシーを制定しないと、企業は金銭の損失、顧客の喪失、事業の停止、従業員への影響などの不利益を被るリスクがあります。
たとえば、顧客情報や取引先から預かった機密情報などを企業が流出させてしまうと、損害賠償を請求されるなど、大きな経済的損失を受けます。その結果、企業の管理責任が問われ、社会的評価が低下することで顧客を失うことにもつながるでしょう。事態が悪化すれば、事業の停止に追い込まれる可能性もあります。
このように、企業や組織が情報セキュリティポリシーを策定しないことで、セキュリティ対策が不十分になり、上記のような被害を受ける可能性があるのです。
情報セキュリティポリシーを策定するメリット
情報セキュリティポリシーを策定すると、具体的にどのようなメリットを得られるのでしょうか。ここでは、企業や組織にとってのメリットについて解説します。
情報資産を確実に守れる
企業や組織にとって、情報資産は非常に重要なものです。顧客や社員の個人情報、業務ノウハウ、商品開発にかかわる機密情報などは、どれも企業や組織を成り立たせるための重要な資産です。
情報セキュリティポリシーを策定することにより、外部からの侵入や内部犯行などから情報資産を守れます。
トラブル発生時にも迅速・適切な対応ができる
トラブルが発生した際に、情報セキュリティポリシーによって対応内容や体制が整っていれば、迅速で適切な対応ができます。
たとえば、情報漏洩が発生した際の対応マニュアルがあれば、漏洩が起こっている端末をネットワークから切り離す、原因を突き止める、二次被害がないか確認するなどの対応をすばやく行えます。災害などが発生した際にも、適切な対策を講じることが可能です。
取引先や顧客からの信頼性が向上する
適切な情報セキュリティポリシーが定められていることを内外にアピールすることで、取引先や顧客からの信頼性が向上するというメリットもあります。顧客や取引先が重要な情報を預けられる体制が整っていることをアピールすることは、非常に重要です。
従業員の意識改革につながる
企業や組織に情報セキュリティポリシーが制定され、従業員に対して適切なセキュリティ教育が行われることで、従業員のセキュリティに対する意識が高まります。
社内の機密情報の漏洩といったセキュリティインシデントは、システム的にどんなに高度な対策を講じても、完全には防げません。従業員が機密情報を格納したUSBメモリをひとつ社外にもち出すだけでも、簡単に重大なインシデントが発生してしまうからです。
そのため、情報セキュリティポリシーを適切に定めて、従業員のセキュリティに対する意識改革を行うことは、非常に重要です。
情報セキュリティポリシーの構成
情報セキュリティポリシーは、基本方針、対策基準、実施手順の三つの要素から成り立っています。ここでは、この三つの要素について解説していきます。
①基本方針
基本方針とは、情報セキュリティポリシーの本体部分となる、対策基準と実施手順を策定するうえでの基本的な考え方を示すものです。
なぜ策定するのか、どのような方針にするのかなど、情報セキュリティポリシー全体としての理念を決めておく場所です。また、このポリシーがどこまでの範囲に適用されるのか、対象者は誰か、違反が発生した際の対応なども、基本方針のなかで決めておきます。
②対策基準
実際の具体的な対策基準を、業務や部署ごとに策定します。ガイドラインとして、それぞれの範囲で具体的に作成します。
どのような業態の企業や組織でも必要とされるガイドラインの例は、以下のとおりです。
・社内ネットワーク利用ガイドライン
・社内サーバー運用ガイドライン
・サーバールームの入退出管理ガイドライン
・従業員のセキュリティ教育ガイドライン
・アウトソーシング契約時のガイドライン
それぞれの対象範囲を明確に定め、情報セキュリティ対策に関する具体的な方法や基準を明確に記載します。
③実施手順
上記のガイドラインに記載された対策基準について、より具体的な実施手順を定めたものです。
たとえば、「サーバールームの入退出管理ガイドライン」の場合には、次のような内容をマニュアルとして記載します。
・入退室時の認証方法
・入退室記録の方法
・認証エラー時にロックが発生する条件
・監視カメラや入退室記録の保管方法・保管期限
上記のように、対策基準に沿った具体的な実施手順を定めます。
情報セキュリティポリシーを策定する流れ
上記のように詳細な情報セキュリティポリシーを策定するときは、組織決定から目的、対象範囲の決定、スケジュールの決定など準備すべきことがあります。ここでは、情報セキュリティポリシーを策定する流れについて、解説します。
①策定の組織決定
情報セキュリティポリシーはどのような組織のなかで制定されるのか、責任者は誰か、運用していく担当者は誰なのかなどを決定していきます。
情報セキュリティ委員会を立ち上げ、統括責任者、メンバー、事務局などの人材を確保します。そして、この組織が社内でどのような位置を占めるのか、セキュリティ品質を高めるために、外部コンサルタントや監査を置くかなどを決める必要もあるでしょう。
②目的、情報資産の対象範囲、期間、役割分担などの決定
情報セキュリティポリシーを策定する組織が決まったら、目的や対象範囲、期間、役割分担などを決定していきます。
③策定スケジュールの決定
ある程度の作業内容を洗い出せたら、情報セキュリティポリシー策定までのスケジュールを決定します。
④基本方針の策定
情報セキュリティポリシーの基本方針を策定します。ポリシーの基本となる重要な部分なので、社内への影響や業務内容などを考慮して、慎重に検討する必要があるでしょう。
⑤情報資産の洗い出し、リスク分析とその対策
情報セキュリティポリシーを策定する対象範囲における情報資産を洗い出し、存在するリスクの分析とその対策を行います。
⑥対策基準と実施内容の策定
これまでに集めた情報をもとに、対策基準を策定します。そして、対策基準に沿った実施内容を具体的に策定していきます。
情報セキュリティポリシーの策定にあたってのポイント
情報セキュリティポリシーの策定にあたって重要なポイントについて、ご説明します。
守るべき情報資産を明確化する
情報セキュリティポリシーで守るべき情報資産はなにか、明確に定める必要があります。たとえば、社内のパソコンやスマホの情報、クラウドデータ内の顧客情報など、対象となる情報資産を明確にしてください。
対象を明確にしないと、基本方針、対策基準、実施手順のうちの実施手順を具体的に作成できません。どのシステムを対象とするのか、どの業務や部署に適用されるのかなどを明確にしましょう。
対象者の範囲、責任の所在を明確にする
情報セキュリティポリシーは組織全体に関係するものなので、対象範囲がとても広いです。そのため、どこまでが対象なのか、それぞれの責任の所在を明確にしておく必要があります。
また、経営層が情報セキュリティポリシー運営の組織に加わることも大事です。セキュリティリスクは企業にとって大きな脅威なので、経営層が深くかかわる必要があります。ただし、実質的な責任者には、現場の視点や技術的な知識などが必要です。セキュリティに関する知識をもつ人材を登用する方がよいでしょう。
具体的にわかりやすく記述する
読む人全員がわかりやすいような記述を心がけましょう。従業員全員がセキュリティに関する知識を知っているわけではないので、専門的な用語ではなく、一般的な言葉でわかりやすく伝えることが大事です。
たとえば、パスワードは8文字以上にする、数字と英字を必ず使うなど、一般的なわかりやすい言葉を使って伝えましょう。図やフローなどを使って、わかりやすく記述することも大事です。
実現可能な内容にする
情報資産を守るためには、セキュリティレベルを高めていく必要があります。しかし、到底実現できないような高いレベルの対策を定めても、意味がありません。レベルが高すぎて、実際に運用することが不可能だからです。
たとえば、パスワードは1ヶ月ごとに変更するとすれば、確かにパスワードが見破られにくくなるでしょう。しかし、パスワード変更の頻度が高すぎて、結局誰も守らないルールになってしまう可能性が高いです。
このように、実現不可能なルールや対策を策定しても意味がないため、実現可能な内容にしましょう。
運用や維持体制を考慮しながら策定する
対策やルールを策定する際には、運用上問題がないか、その対策やルールを維持できる体制が整っているかを考慮する必要があります。
また、運用していくなかで改善点があれば、その都度改定していくことも必要です。
罰則規定を設ける
ルールに違反した場合の罰則規定を設けることも重要です。罰則を設けることで、従業員が情報セキュリティポリシーを守る意識が生まれるためです。
IPA「中小企業の情報セキュリティ対策ガイドライン」を参考にする
IPAの『中小企業の情報セキュリティ対策ガイドライン』を参考にすることで、企業に必要な情報セキュリティに関する知識を得られます。情報セキュリティ対策に取り組む際、経営者が認識して実施すべき指針や、社内の対策や実践の手順や手法がまとめられています。
まとめ
この記事では、情報セキュリティポリシーについて、企業にとってのメリット、構成や策定する流れなどについて解説しました。情報セキュリティポリシーは、企業の情報資産を守るために非常に重要なものです。日ごろから策定しておくことで、従業員のセキュリティに対する意識が高まり、社内のセキュリティレベルを高めることが可能です。
SHIFTでは、お客様の環境にあわせた、セキュリティソリューションの導入支援を行っています。それぞれの情報セキュリティポリシーにあったセキュリティ対策を検討し、ご提案いたします。セキュリティ対策についてお悩みの場合は、お気軽にご相談ください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
セキュリティ・バイ・デザインとは?必要性やメリット、導入方法を解説
2024.06.21
詳しく見る
-
- セキュリティ
リスクベース認証とは?仕組みや種類、導入するメリットについて解説
2024.06.21
詳しく見る
-
- セキュリティ
リバースブルートフォース攻撃とは?ブルートフォース攻撃との違いや危険性、対策を解説
2024.05.31
詳しく見る
-
- セキュリティ
PSIRT(ピーサート)とは?CSIRTとの違いや役割について解説
2024.05.29
詳しく見る
-
- セキュリティ
サイバーキルチェーンとは?7段階やセキュリティ対策をわかりやすく解説
2024.05.30
詳しく見る
-
- セキュリティ
DevSecOpsとは?DevOpsとの違いやメリット、課題について解説
2024.05.27
詳しく見る
-
- セキュリティ
ZTNA(ゼロトラストネットワークアクセス)とは?VPNから移行する必要性、注意点について解説
2024.05.22
詳しく見る
-
- セキュリティ
パスワードリスト攻撃とは?手口や対策について解説
2024.05.27
詳しく見る
-
- セキュリティ
ブルートフォース攻撃とは?手口や対策までわかりやすく解説
2024.05.20
詳しく見る
-
- セキュリティ
CPSMとは?CASBとの違いや機能、導入するメリットについて解説
2024.05.20
詳しく見る
