「情報セキュリティポリシー」という言葉をご存じですか?多くの企業や組織で導入されている、情報セキュリティに関する指針や方針をまとめたものですが、最初から最後までしっかりと読み込んだことがある方は少ないのではないでしょうか。情報セキュリティを重視する大企業との取引には必須と言えるものですが、内容や作成方法について疑問を持つ方も多いでしょう。
この記事では、情報セキュリティポリシーの基礎知識から作成のための考え方をまとめて解説します。情報セキュリティ担当者は、ぜひ参考にしてみてください。
また、情報セキュリティポリシーの策定・運用のポイントのほかにサンプルも付いた資料を無料で配布しています。こちらから無料でダウンロードできますので、ぜひご活用ください。
情報セキュリティポリシーとは
情報セキュリティポリシーとは、企業や組織が情報セキュリティを保つための全体的な指針や方針を定めたルールのことです。具体的には、情報セキュリティ(情報の安全)+ポリシー(指針)であり「情報を安全に守るために何をするのか」という事が記載されています。
情報セキュリティポリシーの目的
情報セキュリティポリシーの目的とは「どのような情報資産を」「どのような脅威から」「どのように守るのか」といった情報セキュリティの基本的な考え方や、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に定義することです。
一般的には、ドキュメントとしてその内容を記載して、企業として運営する際のルール作りをすることになっています。より詳細な内容については、総務省が公開している「国民のための情報セキュリティサイト」に記載されています。
情報セキュリティポリシーがない場合のリスク
もし、情報セキュリティポリシーが無かったら、企業には以下のようなリスクの発生が考えられます。
- 情報の管理がずさんになる
- 管理が甘くなり、情報漏えいのリスクが高まる
- 情報機器が適切に管理されない
- セキュリテイ事故発生時に適切な対応が取れない
つまり、指針がないとどんな対応をすればよいかが明確にならず、従業員のセキュリティ意識が結果として低い状態に陥ってしまうのです。このような状態の企業に、業務の依頼はしづらいでしょう。
特にセキュリティの厳しい大手企業は、トラブルに巻き込まれたくないという心理から、ポリシーがない会社との取引は避けがちになります。これらの要因から、大手企業と取引をする際に、自社に情報セキュリティポリシーを設定することは必須と言えるのです。
情報セキュリティポリシーの内容
「情報セキュリティポリシー」の概要と重要性はなんとなく掴めたでしょうか。
難しいように感じるかもしれませんが、記載されている内容1つ1つを分解していくとわかりやすいです。では、具体的に情報セキュリティポリシーにはどのような内容を含むものなのか、詳しく解説します。
基本方針
「基本方針」には、自組織における情報セキュリティ全体の方針や理念、サイバーセキュリティの必要性、情報資産を守るための方針といった基本的な考え方を記載します。
基本方針はホームページなどに掲載され、第三者でも見ることができるようにするケースが多いので、経営者自らが情報セキュリティマネジメントに関与し、「企業の信用を保持することの宣言」という意味も持ち合わせています。
対策基準
「対策基準」は、部署やシステム別にガイドラインを記載します。
先述した、基本方針を実現するために、どんなセキュリティ対策を実施するのかを明示します。
基本方針に従って、ガイドラインに情報セキュリティ保護策や基準を盛り込み、より踏み込んだ内容が求められ、正しく対策が実施できなかった場合の罰則規定まで記載しましょう。
実施手順
ここでは、実際の業務や作業フローにおいて、情報セキュリティを保つために必要な方策を記述します。
セキュリティ担当者と、各部署の従業員が実施すべき個別のオペレーションを定め、「セキュリティ対策ソフトの導入方法」「不正なアクセスが無いかログを確認する方法」など業務の具体的な内容まで記載しましょう。
情報セキュリティポリシー作成のポイント
情報セキュリティポリシーを作成するときのポイントは以下の3つです。
- 情報資産の明確化
- 適用対象者の範囲決定
- 具体的な規定
これらのどれかが1つでも欠けると、セキュリティポリシーは機能しにくい状況になってしまいます。それでは1つずつこのポイントについて解説します。
情報資産の明確化
情報セキュリティポリシーにおいて、守るべき情報資産の定義は重要なものです。
守るべき対象がわからなければ、それを「誰が責任を取るのか」「具体的にどんな対策をするのか」につなげることができません。何を守るのかが明確でないと、正しいセキュリティ対策ができません。守るべき資産範囲を具体的に決めることで、各セキュリティ対策が機能を発揮できます。
適用対象者の範囲決定
適用対象者は、原則として自社従業員全員です。
自社従業員以外にも協力会社や子会社の人員も必要に応じて対象者の範囲に入れましょう。
また、対象者の役職や地位によって適用範囲が異なる場合はその旨を併記しておきます。
条件によって範囲が異なる場合は、文面だけでは伝えづらいため、図表を用いて整理するとわかりやすくなります。
具体的な規定
情報セキュリティポリシーが曖昧だと、形骸化(中身のない形だけのもの)してしまうことは免れません。適用基準が明確にできるよう、内容はできる限り具体的に作成しましょう。
例えばパスワードの設定方法などは「最低8文字以上」「英語及び数字を各1字含む」「1カ月に1度の変更」など、具体的な施策がイメージできるように規定を定めることが重要です。
情報セキュリティポリシーの運用方法
ここまで、情報セキュリティポリシーについて解説しました。
「より具体的に」「より適用するものや範囲は明確に」記載することが重要だということが伝わったと思います。また、情報セキュリティポリシーは1度作ってしまえば終わりというわけではありません。技術が進歩することにより、不正アクセスの方法は変わりますし、手口も巧妙化していきます。
それに合わせて情報セキュリティポリシーも、PDCAサイクルを回し、改善を繰り返し最新の情報に更新していく運用が求められます。
最近の事例で言えば、コロナ禍で多くの企業がテレワークを導入するタイミングで、社用PCの自宅持ち込みなどのルールを策定し、情報セキュリティポリシーを策定・改変したケースが多いです。
このように時代に合わせたセキュリティポリシーの策定が求められるといってよいでしょう。
情報セキュリティポリシー策定のメリット
情報セキュリティポリシーを策定することで、以下のようなメリットが得られます。
- セキュリティインシデントの発生を防止できる
- 外部からのサイバー攻撃といった脅威から情報を安全に保護できる
- 取引先に対して、安心感を与えることができる
セキュリティインシデントとは、自組織の情報資産に悪意のある操作が行われてしまった、個人情報漏洩などが起きてしまった、などのセキュリティ上の脅威状態を指します。
こうした事態を未然に防ぐ、というのは情報セキュリティポリシーの最大のメリットでもあり、存在意義であるといえます。
その他にも、セキュリティのために何をするべきかが明確となっているため、外部からのサイバー攻撃などの脅威から情報を安全に保護することもできます。
また、タイトルにもあるように、取引先に安心感を与えることが可能です。
サプライチェーンを管理する大企業の側からすれば「情報セキュリティポリシーで安全を担保できない会社」よりも「情報セキュリティポリシーが適切に策定されており、安全を担保できる会社」を取引主体と考えるからです。
反対に、大企業のサプライチェーンを構成するようなビジネスに参画することになった場合、セキュリティポリシーが存在すれば、自社のセキュリティ対策が要件を満たしているか確認できるため、素早い受注判断やポリシー自体の改正が可能となり、業務効率化にもつながります。
情報セキュリティポリシーの例文
情報セキュリティポリシーのメリットを作成してきましたが、いざまっさらな状態から情報セキュリティポリシーを作成するのは至難の業です。そこでここでは、インターネット上で公開されている情報セキュリティポリシーの例文をいくつかご紹介します。自社で情報セキュリティポリシーを作成する際に参考にしてみてください。
情報セキュリティポリシーサンプル1.0版
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)が公開している情報セキュリティポリシーを紹介します。2002年に作成されてから、スマートデバイスやクラウド、SNSなどの新しい技術やサービスの登場に応じて、つど改定作業を行い、現在は情報セキュリティポリシーサンプル1.0版として公開されています。
中小企業の情報セキュリティ対策ガイドライン
情報処理推進機構が公開している中小企業向けの情報セキュリティ対策のガイドラインです。
情報セキュリティ対策に取り組む時に必要となる、経営者が認識し実施すべき指針や、社内で情報セキュリティ対策を実践するときの手順や手法がまとめられています。現在は、中小企業などを対象としたクラウドサービスなどの環境変化を受けて改定された、第3版が公開されています。
教育情報セキュリティポリシーに関するガイドライン
文部科学省が公開している、教育機関を対象とした情報セキュリティポリシーです。GIGAスクール構想を想定した1人1台端末の整備や校内通信ネットワークの整備など、学校ICT環境整備の推進を踏まえた内容になっています。ガイドラインとともに「教育情報セキュリティポリシーに関するガイドライン」も公開されています。
情報セキュリティポリシー(ソフトバンク株式会社)
ソフトバンクでは、情報漏洩リスクへの対策の一貫として2006年12月25日より情報セキュリティポリシーが施行されています。具体的には情報セキュリティ管理体制の構築や、最高情報セキュリティ責任者(CISO)の配置、情報セキュリティに関する内部規定の整備などの項目が設けられています。
このようにさまざまな組織や企業で情報セキュリティポリシーが設定されていますが、いざ作成するとなると、何から手をつけたら良いのか分からないこともあるでしょう。
LRM社では、情報セキュリティポリシーの作成方法を、詳しいサンプルを参考にイメージしやすく解説している資料を公開しています。自社で情報セキュリティポリシーを新しく作成する際に、ぜひ参考にしてください。
まとめ
情報セキュリティポリシーについて解説しました。情報セキュリティポリシーは、セキュリティ対策において必要なものであり、大企業との取引機会を逃さないためにも欠かせないものです。
具体的には以下の3つの点を意識することが重要です。
- 情報資産の明確化
- 適用対象者の範囲決定
- 具体的な規定
この3点を踏まえ、極力具体的に記載する、PDCAサイクルを回しながら継続的に最新の内容にアップデートする、といったことから、安全な情報資産管理を実現しましょう。