情報セキュリティポリシーとは、企業や組織が情報セキュリティを保つための全体的な指針や方針を定めたルールのこと。
その策定は、企業がセキュリティ体制を構築する上で欠かせないもの。とはわかっていても「実際に作るとなると何をすれば良いかわからない」という方も多いようです。

今回は、その情報セキュリティポリシー策定のポイントや、策定の手順など。例文などを紹介しながら、自社のセキュリティポリシーを策定するために必要な情報を整理しましたので、ぜひ参考にしてください。

情報セキュリティポリシーとは

情報セキュリティポリシーとは、企業や組織が情報セキュリティを保つための全体的な指針や方針を定めたルールのこと。

「サイバー攻撃から機密データや個人情報を守るために、こんな防御策を講じていますよ」と宣言したもののことです。サイバー攻撃による被害が増加している現代社会において、企業運営のためのルールづくりとして欠かせないものの1つです。

セキュリティポリシーには決まった定型文はありませんが、一般的には社内の情報データを守るために必要な、

  • 組織全体の情報運用方針
  • 情報セキュリティに対する考え方
  • 具体的な運用規定、対策基準

などを記載します。理念的なものを超えて、具体的な内容にまで踏み込んだものも少なくありません。

セキュリティポリシーを策定する上で必要なこと

作成したセキュリティポリシーは「自社のシステムに則したもの」でなくてはなりません。

「同じ業種のA社がセキュリティポリシーを公開しているから、ウチも参考に同じようなものを作ろう」という作り方では問題ありです。そのような単純なものでなく、自社の事業規模やシステム構成にあわせたポリシーを定めることが求められています。

その際に検討するポイントとしては、

  • 事業内容、経営規模は?
  • 扱う個人情報の範囲や量は?
  • 社内システムやネットワークはどのようなものか?

などです。

サイバー攻撃は多様化の一途を辿っており、決して画一的なものではありません。
そのサイバー攻撃に対応する社内の体制を構築するものとしてポリシーとして策定しますので「他社と一緒」ではダメということを頭に入れつつ読み進めていきましょう。

セキュリティポリシーに盛り込むべき内容

セキュリティポリシーには、不正アクセスから自社システムを守るために必要十分な内容を盛り込むことが求められています。

一般的には、「基本方針」、「対策基準」の2つの要素を『情報セキュリティポリシー』として整理し、「実施手順」を、『細則』として個別対策などを盛り込んで肉付けする形が一般的です。

  • 基本方針 → 組織全体での理念や指針
  • 対策基準 → 基本方針を実現するための規則
  • 実施手順 → 対象者や運用手続きの明確化

図に表すと下記のようになります。

それでは各要素を細かく見ていきましょう。

基本方針とは?

「基本方針」は、セキュリティポリシー全体の羅針盤とも言うべき、組織における情報セキュリティ全体の指針や方針です。

「どうしてサイバーセキュリティが必要なのか」
「情報資産を守るためにどのような方針を採るのか」

こうした文章を盛り込むことが求められています。セキュリティポリシーの中でも最も表題的、理念的な部分になりますが、続く対策基準や実施手順の方向性を決定付ける重要な項目です。

対策基準とは?

「対策基準」は、実際に導入する情報セキュリティ対策について、具体的な部署やシステム別にガイドラインを記載します。

  • システム開発ガイドライン
  • サーバ運用ガイドライン
  • アウトソーシング契約ガイドライン

基本方針に従って、各ガイドライン別に情報セキュリティ保護策や基準を盛り込みます。社内の部署や契約別に定めるため、基本方針よりもずっと踏み込むだけでなく、罰則規定が必要です。

実施手順とは?

実施すべき情報セキュリティの内容の具体的に詳しく記載します。実際の業務や作業フローにおいて、情報セキュリティを保つために必要な方策を記述。

セキュリティ担当者だけでなく、各部署の従業員が実施すべき個別的オペレーションにおいて、自社の情報資産が守られるように定めます。
例えば、

  • 電算室に入室する際のアクセス権限
  • セキュリティソフトの導入手順
  • システムの正常稼働を確認する方法

など、各業務別の個別的具体的な内容に踏み込みます。

セキュリティポリシーの策定手順

情報セキュリティの策定は一般的に作成組織を立ち上げ、代表者が最終的に策定を行う方法が採られています。

また、自社のみで構築が難しいと思われる場合は、外部機関と連携協力。策定ガイドラインが自社システムに則したものかについて、助言を受けることが求められています。

具体的な手順例

  1. 代表者が「情報セキュリティ委員会」を立ち上げる
  2. 策定スケジュールを立てる
  3. 代表者の意向に従い基本方針を定める
  4. 自社の情報資産を洗い出し、リスクを具体化する
  5. 各担当者が個別的対策やガイドラインの策定に入る

補足:必要に応じて、外部機関や顧問弁護士の助言を受ける

セキュリティポリシー策定の3つのポイントと文章例

効果的なセキュリティポリシーの策定には、いくつかのポイントを抑えた記述方法が大切です。ここからは例文を参考にしながら、具体的な方策を定めてみましょう。

ポイント1:守るべき情報資産の明確化

守るべき情報資産の定義づけは、セキュリティポリシーにおいて重要な指針です。どんな強固なセキュリティであっても、「いったい何を守るのか?」が具体化されていなくては、十分な成果が期待できません。


「情報セキュリティポリシー」は自社の情報資産を、人的・物理的・環境的なリソースと定義付けする。またシステム範囲については、下記の一覧に記載する…

少し固い文章ですが、守るべき資産範囲を具体化することで、各セキュリティ対策が機能を発揮します。また、図表やグラフを使った表現方法も効果的です。

ポイント2:適用対象者の範囲を定める

セキュリティポリシーを守るべき人について記載することも大切です。基本的には自社従業員が対象となりますが、必要に応じてアウトソーシングや子会社で働く人についても、触れるべきだと言えるでしょう。


本規定の適用対象者は、代表者及び役員、従業員とする。また、業務委託契約及び出向命令等により、自社システムを扱う子会社従業員及び外部委託者も、その業務の範囲に限り対象者となる。

「誰が適用されるのか?」は非常に重要です。また、対象者の役職や地位によって適用範囲が異なる場合は、その旨併記しなければなりません。

対象者が多岐にわたる場合は、箇条書きや図表を用いてスッキリと整理した表記も良いでしょう。閲覧者に「わかりやすい!」と感じさせることができれば、それだけ自社セキュリティの期待値も向上します。

ポイント3:できるだけ具体的に規定する

セキュリティポリシーが抽象的な表現だけでは適用基準が曖昧になり、あっという間に形骸化してしまいます。それを防ぐためには、やはり「内容の具体化」が望ましいです。


パスワードの設定・変更は以下の通りと定める
1.最低8文字以上で構成すること
2.英語及び数字を各1字含むものであること
3.設定したパスワードは2か月に1度変更すること

「パスワードの変更」の運用手順を例文にしたものです。設定及び手順について具体的なルールが定められており、ただ「パスワードを変更しましょう」と訴えるより、ずっと高い効果が期待できます。

サンプル例文リンク集

JNSA(日本ネットワークセキュリティ協会)

JNSA(日本ネットワークセキュリティ協会)により公開されている情報セキュリティポリシー サンプルです。
2016年3月29日に改定され、スマートデバイス、やクラウド、SNSといった新しい技術やサービスの登場にも対応できているサンプルです。
また、2002年に作成されたサンプルよりも、より中小企業向けとなっており多くの企業の参考として使われています。
サイト
情報セキュリティポリシーサンプル改版(1.0版)

IPA(情報処理推進機構)

IPA(情報処理推進機構)にて公開されている情報セキュリティポリシー サンプルです。
「中小企業の情報セキュリティ対策ガイドライン」の付録」として公開されているもので、Wordファイルでダウンロードできるため、とても利用しやすいサンプルとなっています。
ここまで読んでも、なかなかセキュリティポリシーの策定が難しいと思う方は、こちらのサンプルを参考にするのが最もわかりやすく、いち早く策定を進めることができる資料です。
サイト
中小企業の情報セキュリティ対策ガイドライン
<ツールB>情報セキュリティポリシーサンプル(全50ページ、161KB)(word)

CEC(コンピューター教育開発センター)

コンピューター教育開発センターにて公開されている情報セキュリティポリシーの作り方資料「:∼今日から始められるセキュリティポリシーの作り方∼」です。
教育機関を対象に作られておりますので、多くの個人情報を取り扱い、今後も情報をしっかりと守らなければならない教育機関にとても参考になる資料です。
サイト
今日から始められるセキュリティポリシーの作り方(全27ページ)(PDF)

セキュリティポリシーを策定しないリスク・危険性 とは

もし情報セキュリティポリシーがなければどうなるのでしょうか。ここでは、情報セキュリティポリシーが策定されない場合の危険性について考えてみましょう。

情報セキュリティポリシーがなければどうなる?

企業や組織が情報セキュリティポリシーを持たない場合、どういったことが起こるのでしょうか。例えば、以下のようなことが想定されます。

  • 情報の管理があいまいになる
  • 管理があいまいなため情報漏えいのリスクが高まる
  • パソコンやサーバーなどの情報機器が適切に管理されない
  • ネットワークが外部から安全に守られない
  • セキュリテイ事故発生時に適切な対応が取れない
  • そもそも従業員のセキュリティ意識が高まらない

など

少し考えてみるだけでも、いくつか思い浮かぶと思います。このように、セキュリティポリシーが無いといろいろと困ったことになります。

どんな被害が起こりうる?

セキュリティポリシーが無いと、いろいろと問題が起こってきますが、それが犯罪などの被害につながることもあります。

例えば、以下のようなものです。

  • 管理外のUSBメモリからの情報漏えい
  • パソコンや情報機器の紛失による情報流出
  • コンピュータウィルス等の感染被害
  • ウェブサイトの改ざん
  • 内部ネットワークへの不正アクセスやデータの改ざん、流出

など

また、従業員のセキュリティ意識や、ITリテラシーなどが高まらないため、さらに上記の問題での情報漏洩やマルウェア感染などの可能性が高いと言えます。

このように、情報セキュリティポリシーが無いことによって、社内の情報機器やデータが正しく管理できなくなるだけでなく、それに伴って外部への情報漏えいなどの恐れも出てきます。加えて、内部ネットワークへの不正アクセスや、それに伴う情報の改ざんや不正取得などが発生する恐れがあります。

こういったことが起こると、「企業としての信用の低下」「受注の減少」など経営的な影響だけでなく、訴訟による補償など大きな問題に発展する可能性もあります。

また、実際にセキュリティ事故が発生した場合にも、情報セキュリティポリシーが無いことで問題が起きてきます。それは、問題に迅速かつ適切に対応するための「対応の流れ」「体制」が規定されていないため、対応が出来ないということです。セキュリティ事故に迅速に対応できないということは、被害の拡大につながります。

こういったさまざまなことから、セキュリティポリシーが無いことは大きなリスクであることがお分かりいただけると思います。

災害などの際にも意味がある

情報セキュリティポリシーが無いことで、情報機器やデータの適切な管理が行えない、情報を外部の脅威から守ることが出来なくなるといったことは事実です。

しかし、情報セキュリティポリシーには、もう一つ忘れてはならない側面があります。それは災害時に果たすべき役割です。大規模災害やパンデミックのような大規模感染などのケースの場合、情報システム部門として担当すべきことは「業務システムの回復・継続運用」と「情報システムにおけるデータ破損や流出の防止」です。そして、このことは、企業が継続して業務サービスを行っていく上で欠かせないことです。

これらの内容は当然情報セキュリティポリシーに明示されているべきことで、ここに規定されていれば、実際に発生した場合であっても迅速かつ適切な対応が取れるようになります。

情報セキュリティポリシーが策定されていない場合、どういったリスクや危険性があるのかということを整理しましたが、情報セキュリティポリシーがない場合、単に情報機器やデータの管理が適切に行えないというだけに留まらず、それが最悪の場合は重大なセキュリティ事故の発生、そして企業の信頼の失墜など経営に関わる大きな問題に発展する可能性があることがお分かりいただけたのではないでしょうか。

企業活動を行う上で、今やIT技術は欠かすことの出来ないものとなっています。しかし、便利な反面で適切な利用と管理を怠ると大変なリスクがあるのがIT技術です。情報セキュリティポリシーは、改めてIT技術を適切に利用する上で欠かせないものであるということを理解しておくことが大切です。

おわりに

情報セキュリティポリシーは、企業や組織をサイバー攻撃から守るために、策定が必要不可欠なものであることをお分りいただけたでしょうか?
しっかりと策定されたセキュリティポリシーがあれば、万が一のインシデントの際にも組織としてしっかりと行動をすることができるはずです。

企業全体のセキュリティ意識の向上のため、万が一のインシデントの際の指針にするためにも、しっかりと策定が必要ですので、自社のみでは対応が難しい場合は、専門家に相談することもお勧めします。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。