キヤノンMJ/サイバーセキュリティ情報局
企業や組織が定める情報セキュリティ対策「情報セキュリティポリシー策定」の要所と注意点
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「情報セキュリティポリシーとは?策定の要所と注意点」を再編集したものです。
サイバー攻撃など環境の変化に伴い、情報セキュリティポリシーの重要性が高まっている。もはや、企業の責任として情報セキュリティポリシーを策定して対応を徹底することは、当然と言える状況になりつつある。この記事では、情報セキュリティポリシー策定の要所と注意点について解説する。
情報セキュリティポリシーとは
情報セキュリティポリシーとは、企業や組織が定める情報セキュリティ対策について、その方針や行動指針を明文化した文書のことだ。適用範囲を設定して、情報資産を守るための基本方針、組織的な情報セキュリティへの対応体制、対策基準、実施手順などについて記載する。
情報セキュリティポリシーを定める目的は、適切かつ組織的に情報セキュリティ対策を講じることで、情報資産を保護することにある。企業・組織が保有している情報資産や事業環境を念頭に、自社に適した情報セキュリティポリシーを作成することが求められる。
一般的に、作成した情報セキュリティポリシーはステークホルダーに対して公開されることが多い。情報セキュリティポリシーを公開することで、従業員のセキュリティ意識向上にも寄与するだけでなく、取引先やエンドユーザーからの信頼向上といった副次的な効果を得られることも期待できる。
コロナ禍を経て、情報セキュリティポリシーの重要性は高まっている。行政が旗振り役となって推進している企業・組織のDX化、リモートワークの普及などが背景にある。リモートワークの推進に伴ってオフィス環境も多様化しており、企業は情報セキュリティポリシーに基づく、実施効果の高いセキュリティ対策が求められている。
リモートワークの環境下では、個人所有のノートパソコンやスマホなどの利用、あるいは個人契約のクラウドストレージの利用など、従業員が規則に反して管理の及ばないサービスや機器を利用してしまう「シャドーIT」に陥ることに注意が必要だ。情報セキュリティポリシーはその抑止力として期待され、企業・組織においては、こうした環境の変化を反映し、情報セキュリティポリシー策定の必要性が高まっているのだ。
情報セキュリティ意識に関する実態調査レポート2021~コロナ禍で高まる「シャドーIT」の情報セキュリティリスク~
https://eset-info.canon-its.jp/malware_info/special/detail/210708.html
情報セキュリティポリシー策定時の注意点
情報セキュリティポリシーは、企業の代表者を中心に策定して外部へ公開するという手順を踏む。このため、情報セキュリティポリシーの策定にあたっては、以下の点に注意する必要がある。
・実施体制の確立
責任者と担当者を決定して、情報セキュリティポリシー策定のための体制を構築する。取締役など経営に関与するメンバーが直接プロジェクトに関わり、積極的に情報セキュリティポリシー策定のプロセスに関わることが重要だ。また、必要に応じて外部専門家の協力を仰ぎつつ、自社の実情に沿ったポリシーの策定が求められる。
・保護すべき情報資産を明確化
保護すべき情報資産が明確化されていない場合、適切なセキュリティ対策の実施は難しくなる。そのため、自社の状況、事業環境において保護が必要な情報、想定される脅威を洗い出す必要がある。その上で、どのような対策、ルールを設定すべきかを議論していくという流れが望ましい。仮に、こうしたことを明確にせず、曖昧にしておけば、従業員のセキュリティ意識の低下は免れないだろう。加えて、従業員の業務遂行の実情を踏まえて、実行可能性が高いポリシーにすることが求められる。
・ポリシー策定と罰則規定
策定した情報セキュリティポリシーを従業員に周知し、実際の行動に反映させていく取り組みが求められる。組織的にセキュリティ意識を向上させるためにも、ポリシーに応じた罰則規定を設けざるを得ない。並行して、情報セキュリティポリシーを周知徹底するために、定期的・継続的に従業員教育を行なうことも重要だ。こうした取り組みにより、組織的なセキュリティレベルの向上が期待できる。
情報セキュリティポリシーに記載する内容
情報セキュリティポリシーにはどのような内容を盛り込むべきだろうか。情報セキュリティポリシーはそれぞれの企業・組織の実情に応じて、組織的なセキュリティレベルの強化を目指すための指針を定めることになる。一般的には、以下のような内容を考慮に入れるとよいだろう。
・情報セキュリティ基本方針
企業・組織が定める情報セキュリティに対する考え方を基本的な方針として取りまとめる。組織を取り巻くステークホルダーに対して、組織のセキュリティに関する基本方針を宣言する意味合いを持つ。すべてのセキュリティ対策における根本的な考え方となるだけでなく、組織の代表者名も記載することになるため、経営陣自らが熟慮する必要があるだろう。
・情報セキュリティ運営方針
組織的な情報セキュリティ対策について、実務的な方針を取りまとめる。情報セキュリティ対策や従業員教育の実施体制についても明記する。
・情報セキュリティ対策規程
企業・組織が導入するべき情報セキュリティ対策について、具体的に明記する。例を挙げると、セキュリティソフトやファイアウォールの導入などが該当する。情報セキュリティ対策に必要なソリューションの導入を進める場合、情報セキュリティ対策規程に沿って検討することになる。
・情報セキュリティ対策手順書
実際に情報セキュリティ対策を講じる際に参照する手順書のことだ。ハードウェアやソフトウェアの管理規定、外部委託先の管理規定などが該当する。組織が実際にセキュリティ対策を施す場合は、情報セキュリティ対策手順書を遵守する形で導入を進めることになる。
中小企業が参考にしたいセキュリティガイドライン
中小企業の場合、情報セキュリティポリシーの策定にあたって、どこから手を付けるべきだろうか。企業・組織によって事業内容はまちまちなため、他社の事例をそのまま流用するわけにはいかない。そういった場合には、IPAが公表している「中小企業の情報セキュリティ対策ガイドライン」が役に立つだろう。
このIPAが用意しているガイドラインは、なかなかセキュリティ対策が進まない、中小企業や小規模事業者を対象としている点に大きな特徴がある。ITに疎い経営者であっても、情報セキュリティの重要性を理解できるよう分かりやすく解説しており、その上で実行可能かつ具体的な施策についても明記している。
最近では、情報セキュリティポリシーを策定する際、一般的にCISO(Chief Information Security Officer:最高情報セキュリティ責任者)の設置が期待されている。また、企業・組織が情報セキュリティ対策を進めるにあたっては経営陣が参画するなど、情報セキュリティへのコミットが求められている。先のガイドラインは、組織的に対応していくための道標となるだろう。
企業の責任として求められる情報セキュリティポリシー策定
時代は大きく変化しており、もはやセキュリティ対策なくして、企業の持続的な存続は難しいとすら言える。企業を取り巻くステークスホルダーは、信頼度の判断基準としてセキュリティ対策も重視するようになっている。その背景には、仮に被害が生じた場合の損失額が年々高まっていることが挙げられる。持続可能な企業であるかどうかの判断基準として、情報セキュリティ対策が前提になっているのだ。
そのため、情報セキュリティポリシーを策定して広く公開することは、もはや企業・組織の社会的責任とも言えるものであり、その重要性は極めて高い。しかし、他社を模倣しただけのもの、雛形をそのまま利用するような情報セキュリティポリシーでは意味がない。自社の外部環境や内部事情、そして従業員の実情を反映した、実効性の高いポリシーの策定を目指してほしい。