たまに役立つセキュリティ豆知識 第106回

時流に合わせた変更も必要

「セキュリティーポリシー」とは企業の情報資産を守るためのルール

会社が決めたルールに沿って扱おう

時代に合わせたルール改定がキモ

Ｑ：「セキュリティーポリシー」ってなに？

Ａ：企業・団体がサイバー攻撃などから機密情報や顧客情報、技術情報といった「情報資産」を守るための方針・行動指針についてまとめたルールのこと。

　組織に属する者（従業員）が各々でセキュリティー対策するのではなく、組織として何を、どこまで、どう守るのかを統一して決定し、可視化した基本文書を指す。

　セキュリティポリシーは、一般的に「基本方針」「対策基準」「実施手順」の3段階で構成される。

　「基本方針」では、経営陣など組織のトップが情報資産を守るための意思を表明する。抽象的ではあるものの、組織としての方向性を示すことができる。

　次の「対策基準」は、組織の人員が守るべきルールを定めたもの。パスワードやアクセス権の管理、業務で使う機器の持ち出し、扱うデータの暗号化など、組織として最低限遵守すべき具体的ルールを定める。

　最後の「実施手順」では、定められたルールをどのように運用するか、現場の従業員が迷うことなく再現できるよう、具体的に記述したマニュアル的な文書として提示する。

　定められたセキュリティポリシーは、いったん決定されたとしても、時流に合わせて常に更新されることが求められる。また、セキュリティー担当者だけが決めていくものでもなく、現場の意見を取り入れながら構築されることが重要だ。

　昨今ではゼロトラスト時代に合わせたポリシーを策定するとともに、テレワーク勤務やクラウド利用、生成AI活用を前提としたルール整備も必要となっている。