基礎知識
情報セキュリティ対策の基本的な考え方「セキュリティポリシー」とは
「セキュリティポリシー」とは、企業が持つ情報資産をどのような脅威からどのように守るのかを具体的に定めた規定のことです。総務省においては、「企業や組織において実施する情報セキュリティ対策の方針や行動指針」と定義されています。
企業によって、情報資産の規模や運用体制は大きく異なるため、実際にセキュリティポリシーを策定する際には、それぞれの企業にあったポリシーを作成する必要があります。
セキュリティポリシーが必要な背景とは
東京で実施される予定だったスポーツの祭典の開催に伴って、2020年は日本をターゲットにしたサイバー攻撃が激化するのではないかと予想されていました。また、2020年2月頃からは、新型コロナウイルスによる感染症の世界的な広がりによって、急遽テレワークを実施する企業も増えてきました。
こうした背景がありながらも、セキュリティに対する体制が不十分なため、さまざまな脅威に対して無防備な状態となっている企業も少なくありません。特に日頃からセキュリティ対策を行っていない企業の場合は、何らかの対策を行わなければならないと理解しているものの、具体的にどのような対策から行う必要があるのかすらわからないケースもあるでしょう。
セキュリティに対する脅威は、企業の規模に関わらず存在します。「中小企業だから深刻な攻撃は受けない」「セキュリティ対策なんて大袈裟なことはしなくていい」などということはなく、しっかりとしたセキュリティ対策を講じる必要があります。
企業における情報資産のセキュリティを管理するための枠組みとして、ISMS(情報セキュリティマネジメントシステム)があります。しかし、中小企業がISMSを取り入れ、国際認証(ISO/IEC 27001)の取得を目指すのは、いささかハードルが高い目標であると言わざるをえません。そこで、このような中小企業は、自社の業務に最低限必要な情報セキュリティの対策をまとめて社内外に対して「宣言」するのがお薦めです。この「自社に必要な情報セキュリティ対策の宣言」こそが「セキュリティポリシー」の策定です。
セキュリティポリシーをどのように作るか?
総務省は「テレワークセキュリティガイドライン」において、ISMSに基づいた情報セキュリティポリシー策定手順を公開しています。具体的には、「基本方針の策定」「適用範囲の決定」「リスクの抽出と分析:リスクアセスメント」「リスク管理:リスクマネジメント(リスクの影響と情報資産の重要度の決定)」「基本方針に基づいた対策基準の策定」「具体的な実施内容の作成」という手順です。この手順に沿うだけで、将来的にISMSの認証の取得を目指すことになった場合に工数を削減できるほど、十分に実効性のあるセキュリティポリシーの策定が可能です。
とはいえ、情報セキュリティに関する知識がゼロの状態から、いきなり完璧なセキュリティポリシーを策定するのは難しいでしょう。そこで、全体の手順はテレワークセキュリティガイドラインを踏襲しつつ、まずは以下に挙げる流れでルールを策定し、少しづつ実態に合わせて整備していくのがお薦めです。
まずは、情報セキュリティの責任者と担当者を決めましょう。そして、自社の潜在的な情報セキュリティリスクを担当者が各部門ごとに洗い出します。各部門のセキュリティリスクをしっかりと可視化しないことには具体的な対策の立てようがないため、最初の洗い出しは非常に重要な作業となります。次に、洗い出しによって可視化されたリスクに対して、具体的な対策の検討を行います。コスト的な問題や実務上の都合によって、立案されたすべての対策を完全に施行できないことも考えられます。そこで対策には優先順位をつけてルール化するのがよいでしょう。
すべてを自社内で行わず、外部の専門家にセキュリティのコンサルティングを依頼する方法も考えられますが、当然コストがかかります。セキュリティ対策が重要であることは理解しつつも、現実的にはそこまでのコストをかけられないという中小企業も多いのではないでしょうか。IPA(独立行政法人情報処理推進機構)では、「中小企業の情報セキュリティ対策ガイドライン」を 公開しています。このガイドラインには、セキュリティポリシー策定の参考になるサンプルや雛形が掲載されているので、まずはこれをそのままお手本にするところから始めるのがよいでしょう。そして、策定したセキュリティポリシーを運用していく上で足りない部分がでてきたら、自社にあわせて都度補完し、少しずつ実効性の高いルールにしていくことが大切です。
セキュリティポリシー策定のメリット
セキュリティポリシーを策定することには、多くのメリットがあります。自社における情報セキュリティのルールをきちんと定めることによって、セキュリティインシデントの発生を防止したり、外部からのサイバー攻撃といった脅威から情報を安全に保護できます。これには取引先や見込み顧客に対して、情報セキュリティ対策を適切に行っている企業であるという安心を与えることができる、副次的な効果も期待できます。
現代は情報セキュリティに対する対策が非常に重視される時代であり、ビジネスパートナーがどのようなセキュリティ対策を講じているかを確認するのは、特に大企業においては当然となってきています。そのため、例えば大企業のサプライチェーンを構成するようなビジネスに参画することになった場合、自社のセキュリティポリシーの有無は非常に重要なファクターとなってきます。
このような場合にセキュリティポリシーが存在すれば、自社のセキュリティ対策がサプライチェーンに求められる要件を満たしているかどうかを容易に確認することが可能です。もしも現状のポリシーで要件を満たせないのであれば、要件を満たせるよう、新たに項目を追加すれば良いのです。前述のようにISMS(ISO/IEC 27001)などの情報セキュリティ認証を取得する必要がでてくるかもしれませんが、可視化されたセキュリティポリシーを策定しておくことで、そのようなステップアップにも対応しやすくなるでしょう。