第６回　セキュリティポリシーを策定する

　情報セキュリティに関する連載も第６回目を向えた。前回まで、インシデントの脅威や、セキュリティ対策動向、情報セキュリティ関連の基準等について説明をしてきたが、今回は実際に情報セキュリティを考える際に重要な「情報セキュリティポリシー」の策定についてみていくことにする。

情報セキュリティポリシーの構成

　情報セキュリティポリシーとは、一般的には以下３つの要素から構成されており、その総称として用いられることが多い。各基準や書籍毎に名称が異なることもあるが、意図することはみな同じである。

1. 「基本方針」（または「セキュリティポリシー」「トップポリシー」など）

情報セキュリティに対する根本的な考え方を表すもの。「ISMS認証基準」「BS7799‐2」では、「情報セキュリティのための経営者の指針及び支持を規定すること」となっている。

2. 「対策基準」（または「スタンダード」「標準書」など）

基本方針を実現するために、各分野で遵守すべき内容を記述したもの。対策基準は、情報システムの規模やネットワーク接続の状況等により、各分野の分け方や、記述内容の詳細度合いがそれぞれ異なる。次にいくつかの例を上げるが、どんな基準を作成した場合でも、通常時の基準に加え、非常時における基準を盛り込むことが大切である。

例）	人的セキュリティ	「セキュリティ対策組織・体制基準」 「セキュリティ教育・研修基準」 「外部委託に関する基準」 「ユーザ認証基準」
	技術的セキュリティ	「ネットワーク接続・管理基準」 「コンピュータウイルス対策基準」 「インターネット接続・利用基準」
	物理的・ 環境的セキュリティ	「サーバルームに関する基準」 「執務室に関する基準」　　　　など

3. 「実施手順」（または「プロシジャー」「マニュアル」など）

対策基準に定められた内容を、実際に情報システムや業務上で実施していく手順を具体的に表したもの。各組織員が、実施手順に基づき、実行することで、初めて情報セキュリティポリシーが適切に遵守できる。

何のために必要なのか

　昨年８月、住民基本台帳ネットワーク（住基ネット）がスタートし、ほとんどすべての国民に住民票コードが付与された。この時、多少なりとも情報システムのセキュリティ対策について気になった方も多いのではないか。

　システム上のセキュリティ対策が適切になされていても、使用する者のセキュリティ意識が低ければ、システムが適切に運用されない状況になってしまう。取扱う情報に対し、その責任はどこにあるのか、組織としてどのように取り組んでいるのかなどの点について、組織として明確な方針を文書化しておくことが必要であり、同時にその内容が実務レベルで実行できるものであることが求められる。

定着させるための配慮点

　最近では、顧客情報や電子メールアドレスなど、個人情報流出事故が話題になることが多い。情報が漏洩した場合、個々のシステムや人間というレベルの問題ではなく、組織としての対応力を問われる。どんな組織でも信用を失うのは簡単であるが、それを取り戻すのは容易なことではない。その点を考慮すると、まず組織トップが理解と強い意志をもって、情報セキュリティポリシーの運用を進めることが大切になる。

　そのほかに、次のような点も配慮しておかなくてはならない。

• 各組織に見合った目標を段階的に定め、対策を実施する。
• セキュリティ対策を実施する為の予算や体制を整える。
• 定期的に見直しを行い、現状に即した内容とする。
• セキュリティ対策の意義が理解できるような教育を行う。
• いつでも情報セキュリティポリシーを閲覧できる環境とする。

　セキュリティの重要性を常に意識させるため、個人情報に関する訴訟等も多い海外では、日常生活の中で目に留まりやすいもの、たとえばハンドブック、カレンダー、コースターなどに、セキュリティ関連の標語を印刷している組織もあると聞いている。

まとめ

　情報セキュリティポリシーには、どこの企業にもある就業規則と似たところがある。どちらも、ただ「つくりました」というだけでは意味が無い。そして、各々の組織の実情に即した内容でないと、ただの形式的な文書になってしまう。

　情報セキュリティ対策は、システムだけで実現できるものではない。システムや情報を取扱う者の意識向上、対策に向けた組織体制の整備など、さまざまな要因が相互に補完し合ってはじめて、適切に実施できるものだ。さらにまた、策定したポリシーを遵守すること、ならびにその確認・見直しが適切に行えることも大切である。セキュリティポリシー策定の際には、そうした点までを含めて、基本方針、対策基準、実施手順を決めるようにしたい。