情報セキュリティポリシーとは?その目的と重要性、策定方法の基準などを解説
情報セキュリティポリシーという言葉を聞いたことはあるでしょうか。情報セキュリティポリシーとは企業や組織が保有する重要な情報を守るための方針のことです。事業の継続や発展において、情報の重要性は非常に高いと言えます。
今回は、情報セキュリティポリシーの目的や重要性、具体的な策定項目、運用ポイントなどについて取り上げます。
情報セキュリティポリシーとは?
総務省の「国民のためのサイバーセキュリティサイト」では、情報セキュリティポリシーを以下のように定義しています。
『情報の機密性や完全性、可用性を維持していくために規定する組織の方針や行動指針をまとめたもの。』
分かりやすく説明すると、適切にサービスが提供できる状態を維持しつつ、会社や組織にとって大切な情報(例えば顧客情報や人事情報、営業情報など)を悪意のある人間から守るための方針をまとめたもの、といえます。なお、こういった重要な情報を情報資産と呼びます。
情報セキュリティと聞くとITのことだけを思い浮かべるかもしれませんが、紙などの物理媒体も情報セキュリティで守るべき対象です。つまり、情報セキュリティポリシーはIT化に対してだけでなく、会社や組織が健全に機能していくための大切な指針なのです。
情報セキュリティポリシーの目的と重要性
情報セキュリティポリシーの目的は、情報資産を守ることです。そのため情報セキュリティポリシーでは、どういった情報資産をどういった脅威から守るのかを決めて、運用体制やルールなどを考えていくことになります。
ここで重要なのは、画一的なルールをただ適用すればよいのではない、という点です。企業や組織ごとに取り扱う情報はもちろん、運用の方法も異なります。自社の規模や組織体制も情報セキュリティを考えるうえで大切な要素です。自社が持つ情報資産と対策すべき具体的な脅威を想定したうえで、適切な情報セキュリティポリシーを策定することが効果のある方針につながります。
情報資産を守れず機密情報や個人情報が漏えいすると、その企業の信頼は大きく損なわれてしまうだけでなく、訴訟や賠償に発展しかねません。また、事業を行ううえで重要なデータが消失すると、事業の継続が困難になるおそれもあります。
こうしたリスクを低減するため、適切な情報セキュリティポリシーを作成して運用することが重要なのです。
リスク対策としての側面も
サービス業で基本的にテレワーク未導入の企業や、クラウドサービスをごく一部の部署でしか利用していないような企業では、情報セキュリティポリシーの必要性を感じないかもしれません。
しかし、バックオフィス系の業務をテレワークに対応させて勤務形態の柔軟性を高めることは、働き方改革のなかで重要です。また、災害等による出社リスクを考慮し、テレワーク比率を高めることが必要になるかもしれません。さらに、データマネジメントやデータ加工に効果を発揮する生成AIの活用に合わせてクラウドサービスを利用するといったケースは、今後も増加していくと予想されます。
事業の継続性を高めるためにも、予め情報セキュリティポリシーを策定しておくことで素早く対応が可能となります。これらの対応は、これからの企業経営にとって重要なことだと考えられます。
情報セキュリティポリシーの主な内容
企業や組織によって適切な情報セキュリティポリシーはそれぞれ異なると述べましたが、基本の型は存在します。
ここでは総務省「国民のためのサイバーセキュリティサイト」を基に、情報セキュリティポリシーの内容について解説します。情報セキュリティポリシーは「基本方針」「対策基準」「実施手順」の3つから構成されることが一般的です。ここでは、上位指針となる「基本方針」「対策基準」について解説します。
基本方針
基本方針では「情報セキュリティの必要性」「情報セキュリティに対する方針」「個人情報の取り扱い」などを明文化します。
情報セキュリティの必要性
情報セキュリティの必要性を確認し、組織全体に対策の重要性を周知します。また、万が一情報セキュリティ事故が発生した場合のリスクも明確化します。
現代ではクラウドサービスの利用やテレワークの浸透など、ITの活用範囲が広くなり利便性が向上している反面で、情報セキュリティリスクも増しています。具体的には情報漏えいによる信頼失墜やITが一時的に利用できなくなった場合の業務停止、内部不正による情報の改ざんなどです。
こうした背景を前提として、どういったリスクが存在するのかを組織全体で共有します。
情報セキュリティに対する方針
「情報セキュリティの必要性」で確認したリスクを基に、社内の状況を踏まえてどのように対策をしていくのか方針を決定します。体制や運用方針といった内容がメインです。組織が保有する情報資産をどのように保護するのか、その方針やルールを記載します。また、実行・運用していくための運用規定や対策基準を定めます。
例えばテレワークのために会社支給の情報端末を自宅に持ち帰る場合、どのように情報資産を保護するか。個人所有のパソコンをテレワークで使用する場合はどのように資産を管理するか。スマートフォンから会社用のチャットツールを利用する場合のルールや、それらの情報端末を紛失した場合の対応方針。クラウドサービス上に保存される情報資産を保護するには、どのように運用するのが好ましいか。それらをとりまとめるのはどこの部署が担うか、などを定めます。
また、持続的に運用するには専門的な知識が必要です。内部人材を育成することや、不足した場合に外部から招へいできるように体制維持についても検討すると効果的です。
個人情報の取り扱い
情報資産の中でも特に注意して取り扱う必要があるものが個人情報です。取引先や顧客の個人情報はセキュリティインシデント発生時のリスクが非常に高く、万が一漏えいすると取引先・顧客との信頼関係が崩れ、業界や一般ユーザーからの信頼も失ってしまいます。そのため、個人情報をどのような方針で取り扱うのか、この段階で明確にします。また、社員の個人情報を保護することも組織運営において重要です。顧客情報とともに社員情報についても同時に管理方針を定めておきます。
対策基準
基本方針に沿って情報セキュリティ対策の実施方針を定義します。ここも会社や組織によって内容は異なりますが、例えば以下のような要素が含まれます。
情報システムの脆弱性対策
脆弱性というのはシステムの不具合や設計上のミスが原因となって発生する、サイバーセキュリティ上の弱点のことです。残念ながら、常に安全なシステムというものは存在しません。システムを構成する要素もシステムを取り巻く環境も、アップデートや技術の発展といったさまざまな要素によって状況が変化していくからです。この点を理解して、「脆弱性情報を入手する方法」「脆弱性対策を行う際の考慮点」などを定義します。
クラウドサービスの利用における対策
多くの組織でクラウドサービスを利用する時代となっています。政府や自治体、銀行といったセキュリティに厳しい組織も利用していることから、今後もますます利用が広がっていくと予想されます。
クラウドサービスには利便性が高いものが多くありますが、これらは従来のセキュリティ対策とは異なるアプローチを必要とするものでもあります。そこで、クラウドサービス向けに方針を定めていきます。「クラウドサービス上で取り扱う情報の種別」「情報のサプライチェーン全体でのセキュリティ設計」などが定義内容となります。
サイバー攻撃への対応
セキュリティ対策としてサイバー攻撃への対応方法を定義する必要性はいうまでもないでしょう。特定の個人や組織を狙う「標的型攻撃」をはじめとして、さまざまな種類のサイバー攻撃が企業や組織を狙っています。これらに対して、どのように対応するのかを定義します。
例えば近年では多層防御と呼ばれる、複数の防御を設定することで安全性を高める手法があります。こういったアプローチについて、方向性を示します。多層防御とは、複数の防御を設定して安全性を高める手法です。内部への侵入を低減する入口対策、内部に侵入した攻撃を早期検知および拡大防止する内部対策、外部への情報流出を防ぐ出口対策からなります。
セキュリティ教育ガイドライン
セキュリティ対策を運用していくための人材を教育する研修や育成プログラムの実施方針を定義します。特に標的型攻撃などから守るためには、システム的な防御だけでなく社員のITリテラシーを高めることが非常に効果的です。
基本方針と対策基準を定義した後、3つ目の「実施手順」として具体的な実施方法を記載していきます。
情報セキュリティポリシー策定と運用のポイント
ここでは効果的な情報セキュリティポリシーの策定・運用ポイントを解説します。
策定時のポイント
情報セキュリティポリシー策定時のポイントは以下のとおりです。
・会社の規模や社内の人員などを踏まえ、実現可能な内容のものを策定する
・実施手順ではだれが見ても分かるように具体的な内容を盛り込んで記載する
・守るべき情報資産を明確にし、組織内で意思統一できる内容のものを策定する
・違反時の業務継続リスクなどを明らかにして、セキュリティ意識を徹底する
・予防的対策とあわせて発見的対策の観点も意識する
また、策定にあたってはIPA(独立行政法人 情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」が参考になります。本ガイドラインでは現状を把握して不足している対策を知るための「自社診断のための25項目」や、「情報セキュリティ関連規程」のサンプル等があります。
さらに付録として情報セキュリティハンドブックの雛形も用意されているため、体系的なセキュリティポリシーを効率的に作成する助けになるでしょう。
運用時のポイント
情報セキュリティポリシーに従い、運用をしていく際のポイントは以下のとおりです。
継続的なセキュリティポリシー評価と見直し
策定した情報セキュリティポリシーが正しく運用されているかを、継続的に評価して更新していくことも大切です。主な評価ポイントは「効果のある内容となっているか」「運用上の欠陥がないか」「新たな脅威に備えられているか」などです。
社内セキュリティ教育の徹底
情報セキュリティポリシーの運用がスタートしたら、社内教育を行います。必ず全社員を対象に、継続的に教育を行います。この際、必要に応じて「役職」「ITリテラシー」ごとに内容の違いを設けてもいいでしょう。大切なのは組織全体のベースラインを底上げすることです。標的型攻撃では社員を狙い撃ちして業務メールに見せかけたウイルス付きメールを送信するケースも見られます。こうした攻撃から守るためにも、全社員のITリテラシーを高めるための教育を行っていきましょう。
情報セキュリティポリシーの遵守
当然のことながら、情報セキュリティポリシーは策定するだけでなく適切に運用して初めて十分な効果を発揮します。特に個人の情報端末管理やクラウドサービスの利用ルールは、社員の遵守する意識の高低が運用を左右するため、注意が必要です。
テレワーク時代に備えた情報セキュリティポリシー
情報セキュリティポリシーを定めて運用することで、サイバー攻撃のリスクを下げ、さらに内部統制強化につなげることもできます。情報資産を守ることで顧客や取引先からの信頼向上に繋がることに加え、自社のシステムや業務の安全運用にも寄与します。
もちろん、情報セキュリティポリシーは定めるだけで終わりではありません。定めた後の運用が大切です。情報セキュリティについては需要が多いため、さまざまなサービスやツールが提供されています。
テレワークと合わせて導入するのに推奨されるサービスがジャスミーの「Jasmy Secure PC」です。
ジャスミーの「Jasmy Secure PC」では情報端末のセキュリティ強化、IT資産管理、そして業務状況の可視化が可能となります。テレワークを前提とした各種セキュリティ機能に加え、情報漏えい対策としてUSBストレージの制御や管理者による強制画面ロック、個々のパソコンのWindows Update状況の可視化などを備えています。導入の手間も少なく、ログデータは最新のブロックチェーン技術による暗号化で守られています。
参考
