セキュリティポリシーとは?その必要性を探る

最終更新日:2021年04月22日

セキュリティポリシーとは何か

英語でセキュリティ(Security)は「安全・防護」ポリシー(Policy)は「政策・方針」という意味があります。

そして、セキュリティポリシーと言われる場合の「セキュリティ」は「情報セキュリティ」の省略表現として使われるため、「セキュリティポリシー」と書かれている場合「情報セキュリティポリシー」を表します。

つまり、セキュリティポリシーとは「自分の会社の情報資産を守るためには、どうしたらよいか。またどう継続していくか。」を定めた方針やルールをまとめたもののことだといえます。

ここでは、セキュリティポリシーについて、策定の考え方や、継続する方法などについて説明していきます。

情報セキュリティポリシーの説明

情報セキュリティポリシーとは何かということを、「総務省 国民のための情報セキュリティサイト」では以下のように説明しています。

総務省 国民のための情報セキュリティサイトより引用
「情報セキュリティポリシーとは、企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。」※

とあります。

総務省 国民のための情報セキュリティサイト

情報セキュリティポリシーの内容。3つの段階とは。

情報セキュリティポリシーは、以下の3つの段階で構成されることが一般的だと言われています。

基本方針

基本方針には、組織全体での理念や指針として、組織や企業の代表者による「なぜ情報セキュリティが必要であるのか」や「どのような方針で情報セキュリティを考えるのか」、「顧客情報はどのような方針で取り扱うのか」といった宣言が含まれます。

基本方針は、会社全体で一つ作られる文書で、WEBなどで、公開される「セキュリティポリシー」がこれにあたります。

公表される文章のため社外的に「自社はこのようなセキュリティポリシーでやっています。」という自社アピールとして利用されることがあります。

基本的な方針のみで具体的な対策が記載されることはあまりありません。

対策基準

対策基準は、基本方針を実現するための規則で実際に情報セキュリティ対策の指針を記述するものです。

基本方針のように一社で一つではなく、必要に応じて各部署で作成される場合があります。例えば、人事部、情報システム部、営業部など、それぞれが扱う情報資産が異なるため違う基準を策定する必要があるということです。

対応基準は、基本方針をより現実的な内容に書き下したものですが、多くの場合、対策基準にはどのような対策を行うのかという一般的な規定のみが記述されます。

実施手順

実施手順は、対象者や運用手続きの明確化を行い、それぞれの対策基準ごとに、実施すべき情報セキュリティ対策の内容を具体的に手順として記載します。

セキュリティポリシーの策定と運用に大切なこと

セキュリティポリシーの方針を考えて決める策定の際には、担当者、体制、手順をあらかじめ検討しておくということが大切です。

また、情報セキュリティポリシーは、企業や組織の代表者が実施するものであるため、できる限り代表者や幹部が策定の作業自体にも関わるような体制を作ることが重要になります。

また、作成したセキュリティポリシーは「自社のシステムに則したもの」が必要ですので、同業他社の似たようなポリシーそのまま使えば良いということになりません。

ではどのようなことに注意して策定していけば良いのでしょうか。

セキュリティポリシーの策定のための体制作り

セキュリティポリシーを策定し実施するためには、まず責任者を明確にして、情報セキュリティポリシー策定に携わる人材を組織化することが必要になります。そのためには、適切な人材を確保する必要があります。

また、情報セキュリティポリシーの品質を高めるためには、外部のコンサルタントや法律の専門家に参加を依頼することも検討することもできます。

しかし、外部のコンサルタントに丸投げせず、組織内の者によって情報セキュリティポリシーを策定しなければ、その企業や組織に適した内容にすることが困難になるため、アドバイザーなどの形で協力してもらうようにするのが良いでしょう。

セキュリティポリシーの作成手順

セキュリティポリシーを作成する際には、3つの段階で述べた、1段階目の「基本方針」、2段階目の「対策基準」の要素を整理し、3段階目の実施手順を、細いルールとして個別対策などを盛り込んでいくのが一般的です。

作成は以下のような手順で進めていきます。

代表者が「情報セキュリティ委員会」を立ち上げる

情報セキュリティポリシーの策定手順は、業態、組織規模、目的、予算、期間などによって大きく異なりますが、まずは、代表的な策定手順を紹介していきます。

1.企業や組織の実情や現在の社会状況に見合った情報セキュリティポリシーを策定・運用するために、適切な人材を、責任者、担当者選定し、組織を決定します。
2.セキュリティポリシーの目的、情報資産の対象範囲、期間、役割分担などを決定します。
3.セキュリティポリシーの策定スケジュールを決定します。
4.代表者の意向に従った基本方針を定めます。
5.自社の情報資産を洗い出してリスク分析を行います。
6.対策基準と実施内容を定めます。
7.必要があれば、コンサルタントなどの外部機関や顧問弁護士のアドバイスを受けます。

策定時に注意することはなにか

効果的な情報セキュリティのポリシーを策定するには、以下のような点に留意する必要があります。

守るべき情報資産を明確に

「何を守るか」の範囲を具体化することで、それぞれの情報資産に対してのセキュリティ対策が機能を発揮します。

対象者の範囲を明確に

セキュリティポリシーを守るべき人が誰かを明確にする必要があります。基本的に対象者の範囲は、自社従業員ですが、必要であれば子会社や外注の人についても、考えましょう。

できる限り具体的に記述

セキュリティポリシーは、抽象的な表現では適用基準が曖昧になり継続して実施されなくなってしまいます。それを防ぐために、できるだけ具体的なルールを設けるのが良いでしょう。

社内の状況を踏まえて、実現可能な内容に

どんな立派なセキュリティを策定しても、実施が無理な内容では意味がありません。実現化可能な内容のセキュリティポリシーにしましょう。

運用や維持体制を考慮しながら策定

継続できる運用体制、維持体制を考えたセキュリティポリシーを策定する必要があります。

形骸化を避けるために、違反時の罰則を明記

セキュリティポリシーを策定しても、形骸化しては意味がありません。ポリシーを遵守するために、違反時の罰則も明記し、注意を促す必要があります。

情報セキュリティポリシーを策定した後の情報セキュリティーの教育

セキュリティポリシーは策定しただけで満足してしまうものではなく、策定した情報セキュリティポリシーに関しては、組織幹部も含め全社員や職員に情報セキュリティ教育を実施して、遵守することを徹底しなければなりません。

単に、膨大な資料を作成し、形だけの方針や指針をメールなどで伝えたりするだけでは、社員や職員に情報セキュリティポリシーに則って行動してもらうことはできません。

そのため、教育を実施しテストを行う、情報セキュリティに関する同意書にサインしてもらう、違反時の規定を設けるなど、情報セキュリティポリシーを意識させる仕組みが必要です。

また、情報セキュリティ診断システムなどを利用して、導入した情報セキュリティ対策の効果や情報セキュリティポリシーの浸透具合を継続的チェックするということも必要です。

このように、すべての社員や職員がルールを理解し守ってこそ、情報セキュリティポリシーに意味があり、情報セキュリティ対策が効果的になるのです。

まとめ

セキュリティポリシーは、ただ作ることが目的なのではなく、社員の理解と遵守の継続が大切です。ルールだけが形骸化して、内部からの不正な情報漏洩や、気持ちの緩みからのサイバー攻撃などにつながらないようにしましょう。



Industlinkに登録されているサイバーセキュリティのソリューションや企業情報はこちらから

企業一覧
ソリューション一覧
◆無料で学べるITセミナー動画
Industlinkの姉妹サイトIndustlink Collegeで先端IT利活用促進事業で開催したセミナー動画が無料で観れます!この機会に、Industlink Collegeへ登録しませんか?
※会員登録、視聴はすべて無料です。
Industlink Collegeはこちら

事務局への無料相談を実施中

「数あるソリューションのなかでどれが自社に最適か?選びきれない」などとお悩みの方へ。
沖縄県から委託をうけた事務局が中立的な立場でご相談に対応いたします。お気軽にご相談ください。