「情報セキュリティポリシー」という言葉をご存じですか?
情報セキュリティに関する指針や方針をまとめたもので、情報セキュリティを重視する大企業との取引には必須と言えるものですが、内容や作成方法ついて不安な方も多いと思います。
この記事では、情報セキュリティポリシーの基礎知識から作成のための考え方まで解説します。情報セキュリティ担当者は、ぜひ参考にしてみてください。
また、情報セキュリティポリシーの策定・運用のポイントのほかにサンプルも付いた資料を無料で配布しています。無料でダウンロードできますので、ぜひご活用ください。
情報セキュリティポリシーについておさらい
情報セキュリティポリシーとは、企業や組織が情報セキュリティを保つための全体的な指針や方針を定めたルールのことです。具体的には、情報セキュリティ(情報の安全)+ポリシー(指針)であり「情報を安全に守るために何をするのか」という事が記載されています。
情報セキュリティポリシーの目的とは「どのような情報資産を」「どのような脅威から」「どのように守るのか」といった情報セキュリティの基本的な考え方や、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に定義することです。
より詳細な内容については、総務省が公開している「国民のための情報セキュリティサイト」に記載されています。
情報セキュリティポリシー基本方針とは
情報セキュリティポリシーの基本方針とは、ポリシー全体を構成する対策基準や実施手順を決めるのに必要な方針をまとめたものです。あくまでも方針であるため、5箇条から10箇条程度のコンパクトな条文で記述されていることが多いです。
これは、取引先や顧客に対して、自社がどのような考えで情報セキュリティに向き合っているのかを明確に示すものだからです。
情報セキュリティポリシー基本方針のサンプル
情報セキュリティポリシー基本方針のサンプルが、情報処理推進機構のWebサイト「中小企業の情報セキュリティ対策ガイドライン」にて公開されています。その一部を抜粋すると次のような内容です。
株式会社○○○○(以下、当社)は、お客様からお預かりした/当社の/情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。
情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン」
- 経営者の責任
当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。- 社内体制の整備
当社は、情報セキュリティの維持及び改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則として定めます。- 従業員の取組み
当社の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。- 法令及び契約上の要求事項の遵守
当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。- 違反及び事故への対応
当社は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努めます。
ご覧いただいてわかるように、文書としてはそれほどの長文ではありません。あくまでも会社としての方針を誰でもわかるような表現で記述されているのが、情報セキュリティポリシーの基本方針です。
また、JNSA(特定非営利活動法人 日本ネットワークセキュリティ協会)も情報セキュリティポリシーサンプル版を公開しています。こちらでは、基本方針を含めたポリシー全文が公開されていますので、一度ご確認ください。
情報セキュリティポリシーは基本方針以外の面も含めて考える
情報セキュリティポリシーには基本方針のほかに、対策基準や実施手順が含まれます。基本方針が定まったら、それに従って対策基準や実施手順も併せて考えなければなりません。次からそれぞれの内容について詳しく解説します。
情報セキュリティポリシーの内容
「情報セキュリティポリシー」の概要と重要性はなんとなく掴めたでしょうか。
難しいように感じるかもしれませんが、記載されている内容1つ1つを分解していくとわかりやすいです。では、具体的に情報セキュリティポリシーにはどのような内容を含むものなのか、詳しく解説します。
基本方針
「基本方針」には、自組織における情報セキュリティ全体の方針や理念、サイバーセキュリティの必要性、情報資産を守るための方針といった基本的な考え方を記載します。
基本方針はホームページなどに掲載され、第三者でも見ることができるようにするケースが多いので、経営者自らが情報セキュリティマネジメントに関与し、「企業の信用を保持することの宣言」という意味も持ち合わせています。
対策基準
「対策基準」は、部署やシステム別にガイドラインを記載します。
先述した、基本方針を実現するために、どんなセキュリティ対策を実施するのかを明示します。
基本方針に従って、ガイドラインに情報セキュリティ保護策や基準を盛り込み、より踏み込んだ内容が求められ、正しく対策が実施できなかった場合の罰則規定まで記載しましょう。
実施手順
ここでは、実際の業務や作業フローにおいて、情報セキュリティを保つために必要な方策を記述します。
セキュリティ担当者と、各部署の従業員が実施すべき個別のオペレーションを定め、「セキュリティ対策ソフトの導入方法」「不正なアクセスが無いかログを確認する方法」など業務の具体的な内容まで記載しましょう。
情報セキュリティポリシー作成のポイント
情報セキュリティポリシーを作成するときのポイントは以下の3つです。
- 情報資産の明確化
- 適用対象者の範囲決定
- 具体的な規定
これらのどれかが1つでも欠けると、セキュリティポリシーは機能しにくくなってしまいます。それではこれらのポイントについて一つずつ解説します。
情報資産の明確化
情報セキュリティポリシーにおいて、守るべき情報資産の定義は重要なものです。
守るべき対象がわからなければ、それを「誰が責任を取るのか」「具体的にどんな対策をするのか」につなげることができません。何を守るのかが明確でないと、正しいセキュリティ対策ができません。守るべき資産範囲を具体的に決めることで、各セキュリティ対策が機能を発揮できます。
適用対象者の範囲決定
適用対象者は、原則として自社従業員全員です。
自社従業員以外にも協力会社や子会社の人員も必要に応じて対象者の範囲に入れましょう。
また、対象者の役職や地位によって適用範囲が異なる場合はその旨を併記しておきます。
条件によって範囲が異なる場合は、文面だけでは伝えづらいため、図表を用いて整理するとわかりやすくなります。
具体的な規定
情報セキュリティポリシーが曖昧だと、形骸化(中身のない形だけのもの)してしまうことは免れません。適用基準が明確にできるよう、内容はできる限り具体的に作成しましょう。
例えば、パスワードの設定方法について「最低8文字以上」「英語及び数字を各1字含む」など、具体的な施策がイメージできるように規定を定めることが重要です。
情報セキュリティポリシーの運用方法
ここまで、情報セキュリティポリシーについて解説しました。
「より具体的に」「より適用するものや範囲は明確に」記載することが重要だということが伝わったと思います。また、情報セキュリティポリシーは1度作ってしまえば終わりというわけではありません。技術が進歩することにより、不正アクセスの方法は変わりますし、手口も巧妙化していきます。
それに合わせて情報セキュリティポリシーも、PDCAサイクルを回し、改善を繰り返し最新の情報に更新していく運用が求められます。
最近の事例で言えば、コロナ禍で多くの企業がテレワークを導入するタイミングで、社用PCの自宅持ち込みなどのルールを策定し、情報セキュリティポリシーを策定・改変したケースが多いです。
このように時代に合わせたセキュリティポリシーの策定が求められるといってよいでしょう。
情報セキュリティポリシー策定のメリット
情報セキュリティポリシーを策定することで、以下のようなメリットが得られます。
- セキュリティインシデントの発生を防止できる
- 外部からのサイバー攻撃といった脅威から情報を安全に保護できる
- 取引先に対して、安心感を与えることができる
セキュリティインシデントとは、自組織の情報資産に悪意のある操作が行われてしまった、個人情報漏洩などが起きてしまった、などのセキュリティ上の脅威状態を指します。
こうした事態を未然に防ぐのが、情報セキュリティポリシー策定の最大のメリットでもあり、存在意義であるといえます。
その他にも、セキュリティのために何をするべきかが明確となっているため、外部からのサイバー攻撃などの脅威から情報を安全に保護することもできます。
また、タイトルにもあるように、取引先に安心感を与えられます。
サプライチェーンを管理する大企業の側からすれば「情報セキュリティポリシーで安全を担保できない会社」よりも「情報セキュリティポリシーが適切に策定されており、安全を担保できる会社」を取引主体と考えるからです。
反対に、大企業のサプライチェーンを構成するようなビジネスに参画することになった場合、セキュリティポリシーが存在すれば、自社のセキュリティ対策が要件を満たしているか確認できるため、素早い受注判断やポリシー自体の改正が可能となり、業務効率化にもつながります。
情報セキュリティポリシーの例文
情報セキュリティポリシーのメリットを作成してきましたが、いざまっさらな状態から情報セキュリティポリシーを作成するのは至難の業です。
そこでここでは、インターネット上で公開されている情報セキュリティポリシーの例文をいくつかご紹介します。自社で情報セキュリティポリシーを作成する際に参考にしてみてください。
情報セキュリティポリシーサンプル1.0版
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)が公開している情報セキュリティポリシーを紹介します。
2002年に作成されてから、スマートデバイスやクラウド、SNSなどの新しい技術やサービスの登場に応じて、つど改定作業を行い、現在は情報セキュリティポリシーサンプル1.0版として公開されています。
中小企業の情報セキュリティ対策ガイドライン
情報処理推進機構が公開している中小企業向けの情報セキュリティ対策のガイドラインです。
情報セキュリティ対策に取り組む時に必要となる、経営者が認識し実施すべき指針や、社内で情報セキュリティ対策を実践するときの手順や手法がまとめられています。現在は、中小企業などを対象としたクラウドサービスなどの環境変化を受けて改定された、第3版が公開されています。
教育情報セキュリティポリシーに関するガイドライン
文部科学省が公開している、教育機関を対象とした情報セキュリティポリシーです。
GIGAスクール構想を想定した1人1台端末の整備や校内通信ネットワークの整備など、学校ICT環境整備の推進を踏まえた内容になっています。ガイドラインとともに「教育情報セキュリティポリシーに関するガイドライン」も公開されています。
情報セキュリティポリシー(ソフトバンク株式会社)
ソフトバンクでは、情報漏洩リスクへの対策の一貫として2006年12月25日より情報セキュリティポリシーが施行されています。
具体的には情報セキュリティ管理体制の構築や、最高情報セキュリティ責任者(CISO)の配置、情報セキュリティに関する内部規定の整備などの項目が設けられています。
このようにさまざまな組織や企業で情報セキュリティポリシーが設定されていますが、いざ作成するとなると、何から手をつけたら良いのか分からないこともあるでしょう。
LRMでは、情報セキュリティポリシーの作成方法を、詳しいサンプルを参考にイメージしやすまとめた資料を公開しています。自社で情報セキュリティポリシーを新しく作成する際に、ぜひ参考にしてください。
まとめ
情報セキュリティポリシーについて解説しました。情報セキュリティポリシーは、セキュリティ対策において必要なものであり、大企業との取引機会を逃さないためにも欠かせないものです。
具体的には以下の3つの点を意識することが重要です。
- 情報資産の明確化
- 適用対象者の範囲決定
- 具体的な規定
これらを踏まえ、極力具体的に記載する、PDCAサイクルを回しながら継続的に最新の内容にアップデートする、といったことから安全な情報資産管理を実現しましょう。
