情報セキュリティポリシーと重要性について

情報セキュリティポリシーとは、企業含む組織が定める情報セキュリティに関する方針・行動指針を指します。企業がもつ情報資産をどのように内外の脅威から守るか、どのような対策を講じるか、具体的に示したものです。

企業の生命線とも言える情報資産は、個人情報の流出等の情報漏洩があれば、信頼は瞬く間に失われ、賠償や訴訟といった大問題にも発展します。

企業の存続を左右するようなリスクから情報資産を保護し、トラブルが起きた時に迅速な対応を取るためには、情報セキュリティポリシーの確立が不可欠になります。セキュリティに関する具体的な判断基準、対策方法をセキュリティポリシーを通じて、従業員へ周知することで、組織としてセキュリティ意識を高められることも大きなメリットと言えます。

本ページでは情報セキュリティポリシーの概要から、構築する上でのポイントや運用方法、その必要性について解説します。

セキュリティポリシーの基本構成

企業が構築する情報セキュリティポリシーには、どのような構成で内容が記載されるのでしょうか。結論、「1 基本方針」「2 対策基準」「3 実施手順」の３部構成が一般的です。それぞれ、詳細を説明します。

1.基本方針

基本方針は、情報セキュリティに対して企業としての基本的な考え方を示すものです。「情報セキュリティポリシーがなぜ必要なのか」「どのような対策を取ればいいのか」理念、対策の方向性を記載します。また、適用範囲や対象者、違反時の対応などもここで明示しましょう。

2.対策基準

対策基準には、実際の指針が記されます。部署・業務ごとにガイドラインを載せます。例としてよくあるガイドラインを挙げます。
●システム開発ガイドライン
●サーバ運用ガイドライン
●社内ネットワーク利用ガイドライン
●アウトソーシング契約ガイドライン
●セキュリティ教育ガイドライン
●入退出管理ガイドライン
各部署、業務におけるガイドライン、情報セキュリティ対策の方法を明示します。何がどこまで許容されるのか、明確な基準を設けて記載する必要があります。加えて、基準に違反した従業員に対する罰則も記します。

3.実施手順

実施手順は、対策基準に対して、具体的にどのように基準を満たすかを示すものです。いわゆるマニュアルのようなものになります。もしセキュリティ教育について記述するのであれば、以下の内容を載せます。
●実施する教育の頻度、回数
●教育を受ける対象者
●教材等の採用する学習形態
●教材実施後、効果を測定する手段
「手順が忠実に実行されれば、対策基準が自然と満たされる」という形が理想です。部署や業務別に実現性の高い手順を定めましょう。

情報セキュリティポリシー策定のポイントと運用

策定のポイントについて説明します。独立行政法人情報処理推進機構（IPA）は、情報セキュリティポリシー策定の手順を以下の８ステップにまとめています。
１．組織・体制の確立
２．基本方針の策定
３．情報資産の洗い出しと分類
４．リスク分析
５．管理策の選定
６．対策基準の策定
７．対策基準の明文化と周知徹底
８．実施手順の策定

策定する上での手順は企業ごとに異なりますが、初めて策定する際にはこの手順を参考にしてみてください。以上を踏まえ、策定時のポイントを解説します。

ポイント１：対象情報資産の明確化

情報資産の定義付けは、情報セキュリティポリシーに不可欠な指針です。セキュリティに強い仕組み作りができていても、「いったい何を守るのか？」が具体化できなくては充分な成果を得ることは不可能です。以下、具体的な情報資産を示した文章例です。

｜文章例｜
「情報セキュリティポリシー」は自社で扱われる情報を、人的・物理的・環境的な経営資源と定義付けする。また扱うシステムの範囲は、下記の一覧に記載する…

対象とする情報資産の範囲を定義することで、各部署、業務上のセキュリティ対策が、その機能を発揮します。また、図や表、グラフ等を使った視覚的に対象を想起させる表現も効果的です。分かりやすく、定義を示すのが重要になります。

ポイント２：適用対象者の範囲

情報セキュリティポリシーを厳守する従業員の対象についての定義も大切です。必要に応じて、外注先や子会社の従業員についても記載する必要があります。

｜文章例｜
本規定の対象者は、自社の代表者及び役員、従業員である。他にも、業務委託契約を結ぶ外部委託者、また出向命令等により、自社システムを扱う子会社の従業員も、その業務を行う際に限り規定の対象者となる。

「どこまでが対象者になるのか？」は非常に重要です。対象者の役職、地位によって適用範囲が異なる際には、その旨を記載します。
対象者が多い場合は、箇条書きや図や表などを用いて整理すると、読み手にも伝わりやすく、セキュリティポリシーに対する理解度も高くなります。

ポイント３：具体的な規定

具体的な情報セキュリティポリシーの規定が必要になります。抽象的な表現だと適用される基準が曖昧になり、形骸化を招きます。対応策として、できる限り記載内容を具体化させる必要があります。

｜文章例｜
パスワードの設定・変更は以下の通りと定める
1. 最低10文字以上で構成すること
2. アルファベット及び数字を各1字含むものであること
3. 設定したパスワードは2か月に1度変更すること

上記「パスワードの変更」に関する運用基準は、設定及び手順について具体的な数字に基づいて規定が定められています。具体的な条件を設けず「パスワードを変更しましょう」と訴えるより、高いセキュリティ対策の効果が期待できます。

情報セキュリティポリシーの運用

情報セキュリティポリシーは、規定を定めた後に改善をしていく必要があります。初めて定めた段階で完璧に近いセキュリティポリシーを作ることは難しいためです。加えて、IT技術の進化、法改正等、変化の激しい時代の中で、内容を改変していく必要があります。
時代に合わせた形で、継続的に手を加えてよりよい情報セキュリティポリシーを構築していくことが求められます。以下のようなPDCAを回しながら、改善していくことが望まれます。

Plan（計画・策定）
その時代の情勢に適した情報セキュリティポリシーを策定する
Do（導入・運用）
セキュリティポリシーを従業員に波及させる。教育とセキュリティポリシーに基づいた対策・実施手順に従って業務を遂行する。
Check（監査・評価）
導入した上で生じた問題点の有無の確認、問題の原因を明確にする。
Action（改善）
得た知見を、セキュリティポリシーポリシーの改変にどのようにして活かすかを検討する

セキュリティポリシーの必要性

企業や組織が情報セキュリティポリシーを策定していない場合、どのような問題・リスクが生じるのか。例えば、以下のようなことが想定されます。

想定される問題

●情報の管理が曖昧
●曖昧な管理設計から情報漏えいのリスクが高い
●情報機器の管理が不適切
●外部からのサイバー攻撃を受けやすい
●セキュリテイに関する事故発生時に適切な対応が取れない
●組織としてセキュリティの意識が醸成されない

少し考えてみるだけでも、問題が思い浮かびます。
このように、セキュリティポリシーを策定しないことで生じる問題は多く存在します。

想定されるリスク

このように、情報セキュリティに関しての会社としてのルール（情報セキュリティポリシー）が無いことで、以下のようなリスクが生じる可能性があります。

●社内の情報機器やデータが正しく管理できなくなる
●外部への情報漏えい
●内部ネットワークへの不正アクセス、それに伴う情報の改ざんや不正取得

こういったことが起こると、「企業としての信用の低下」「受注の減少」など経営的な影響だけでなく、訴訟による補償など大きな問題に発展する可能性もあります。企業にとって情報セキュリティポリシーが確立されていないということが大きなリスクを生むということはお分かりいただけたでしょうか。

まとめ

いかがでしょうか。情報セキュリティの重要性やその方法に関してご理解いただけましたか？
昨今では情報が資産となり、情報を運用する上でPC、インターネットが活用される時代です。そのため、いつ自社がインターネットを介した脅威の標的になってしまうのかわかりません。

会社が大きな損害を受ける前の対策が求められます。そのため、まずは会社にどのような情報があるのか、正しく把握しましょう。把握した上でその情報がどのようなリスクを有しているのかを判断し、適切なセキュリティ対策を行いましょう。

それでも、「どのようにセキュリティ対策を始めれば良いかわからない」と悩む企業様もいらっしゃいます。そんな時は、株式会社UPFにご連絡ください。
株式会社UPFには、業界No.1を誇る実績に基づく、ISMS認証の取得、プライバシーマーク（Pマーク）取得のノウハウがございます。ノウハウをもとに御社のセキュリティポリシー構築を支援させていただきます。
お悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。