情報セキュリティポリシーはなぜ必要なのか。その内容や運用・管理について解説

IT化が進み、情報化社会と言われるようになった昨今では、サイバー攻撃による情報漏えいや、金銭的な被害が多発しています。日本国内でも、組織の情報セキュリティ対策強化が重要視されるようになりました。

組織が情報セキュリティ対策を行う上で最初に行うべきことが「情報セキュリティポリシー」の策定です。しかし、情報セキュリティポリシーとは一体どんなものなのか、どんな意味があるのか、きちんと把握している人は、意外と多くないようです。

そこで今回の記事では、情報セキュリティポリシーの形式、策定のステップ、組織体制について解説します。

情報セキュリティポリシーとは

そもそも「ポリシー」という言葉には、どんな意味があるのでしょうか? 狭義では「理念」「方針」「政策」などの意味で使われ、広義だと「方法」「手段」「手順」などの意味も含まれるようです。

実は情報セキュリティポリシーにも、同様に、狭義と広義があると言われています。

狭義では、情報セキュリティに対する方針や指針など、考え方だけを意味しますが、広義では、具体的な実施手順なども含めて、情報セキュリティ対策に関する規定をすべて意味するようです。

ここでは、広義の情報セキュリティポリシーについて紹介します。

情報セキュリティポリシーはなぜ必要なのか

組織においての「情報セキュリティポリシー」の目的は、サイバー攻撃や情報漏えいといったリスクから身を守るためです。そのような被害から身を守れるように、組織として、十分な設備や仕組みを整える必要があります。

また、情報セキュリティポリシーの策定は、設備や仕組みを整えるだけでなく、組織の意識を高めることにつながります。情報漏えい事件の多くは、組織内部の人為的なミスが原因と言われています。「どのような情報を」「どのような理由で」「どのようにして」守らないといけないのか、自分たちで考えて決めることで、セキュリティに対する意識自体が高まります。

情報セキュリティポリシーの内容とは

情報セキュリティポリシーの内容は、「基本方針」「対策基準」「実施手順」の順に、3階層に分かれるのが一般的です。

・基本方針

英語では“ポリシー”とも呼ばれています。なぜ情報セキュリティ対策が必要なのかという「Why」にあたる内容や、どのような方針で取り組むのかといった内容であり、情報セキュリティポリシー全体の根幹になります。

具体的には、情報セキュリティポリシーの適用範囲、対象者、体制や役割、違反時の対応などです。

・対策基準 

英語では、“スタンダード”とも呼ばれています。どんな対策を実施するのかという「What」にあたる部分です。情報セキュリティ対策を行うためのルール集といってもいいかもしれません。

具体的には、入退出の管理基準、セキュリティ教育基準、社内ネットワーク利用基準などです。

・実施手順 

英語では、“プロシージャ―”とも呼ばれています。個別の対策について、具体的にどのように実施するのかという「How」にあたる部分です。簡単に言えば、マニュアルだと思えばいいでしょう。

具体的には、入退出管理マニュアル、ウイルス対策ソフト導入手順、ネットワーク設定マニュアルなどです。

誰が考えるべきか

情報セキュリティポリシーの策定は、非常に大変な業務です。基本的には「情報セキュリティ委員会」といったような組織を立ち上げ、遂行することが多いでしょう。

その際に大切なことは、できる限り代表者や役員もその組織に参加することです。

情報セキュリティポリシーとは、組織がどのような方針で情報を守るかという重要な方針であり、経営方針の一部です。具体的な運用は別の責任者を立てたとしても、策定については経営陣がしっかり関与するべきです。

また、経営陣だけで策定するのではなく、組織の内情を正しく把握している人材も参加させる方がいいでしょう。誰にどこまで管理権限を持たせるのかなど、組織の状況に見合った形をとらないと日常の実務に支障が出てしまうこともあります。

社内に、情報セキュリティに詳しい人材がいない場合は、外部のコンサルタントを利用する手法もあります。しかし、先ほども述べたように、社内の実情に詳しくないと適切な対策はとれないため、コンサルタントに丸投げするのではなく、あくまでアドバイザーとして依頼し、組織の情報セキュリティを策定していきましょう。

情報セキュリティポリシー策定のステップ

情報処理推進機構(IPA)では、情報セキュリティポリシー策定の流れは次の8ステップとしています。

①    組織・体制の確立

②    基本方針の策定

③    情報資産の洗い出しと分類

④    リスク分析

⑤    管理策の選定

⑥    対策基準の策定

⑦    対策基準の明文化と周知徹底

⑧    実施手順の策定

一つひとつの具体的な策定の流れについて解説すると長くなってしまうので、ここでは割愛します。インターネットで検索をかけてみると、様々な機関が策定の手順を載せているので、参考にしてみてはいかがでしょうか。

また、ここでは、情報セキュリティポリシーの策定の仕方について記載しましたが、情報セキュリティポリシーの策定手順、形式、内容は、企業ごとに異なるものです。あくまで一例として参考にしていただければと思います。

運用と管理

情報セキュリティポリシーは、策定して終わりではありません。しっかり運用・管理することが大切です。この運用・管理をする上で重要と言われるのが、PDCAサイクルを回すことです。

 

・情報セキュリティポリシーにおける「PDCA」 

◆PLAN(計画)

情報セキュリティポリシーを策定します。

◆DO(実施)

策定した情報セキュリティポリシーを組織内で周知徹底します。組織全体がポリシーに則り正しく行動することで初めて効果を発揮します。

◆CHECK(監査・評価)

策定された情報セキュリティポリシーが正しく実施されているのか監査します。また、正しく実施されていたとしても、問題点や欠点が見つかる場合もあります。

◆ACT(改善)

定期的に、Checkで見つかった正しく実施されていない部分は改善し、情報セキュリティポリシー自体の欠点や問題点は再度考え直します。

組織の状況、社会の状況など、様々なものによって適切な情報セキュリティ対策も変改していくため、このようにPDCAサイクルを定期的に回しながら、日々見直してみましょう

組織に合った情報セキュリティポリシーを

今回の記事では、一般的に言われている情報セキュリティポリシーの形式、策定のステップ、組織体制などについてまとめてきました。しかし、何度かお伝えしているように、情報セキュリティポリシーの最適な形は、企業ごとに異なります。自分の組織の情報セキュリティポリシーは、どのような形が最適なのか、まずはそこから考えてみることが大切です。サイバー攻撃によって被害を受けないためにも、意識を高め、組織の情報セキュリティ対策を強化しましょう。