サイバー攻撃が世界的に激化しているなか、セキュリティポリシーを策定・遵守して企業や組織としての方針を明確にすることが大切です。とはいえ、どのようにセキュリティポリシーを策定すればよいのかわからないという方も多いでしょう。そこで今回は、セキュリティポリシーの重要性や策定時のポイントについて、わかりやすく解説します。
セキュリティポリシーとは
「セキュリティポリシー」とは、企業などの組織が定める情報セキュリティに関する方針・行動指針のことを指しています。「企業が持つデータをどのように脅威から守っていくか」を定めた指針であり、ここでいう「脅威」とは、外部の第三者による不正アクセスやデータの窃取、改ざん、破壊などのサイバー攻撃のほか、内部犯によるデータ窃取などのセキュリティ事故も含まれます。
セキュリティポリシーを定めることで、セキュリティに関する万が一のトラブルに備えるだけでなく、トラブルが起こったときに迅速な対処が可能になります。
セキュリティポリシーが重要な理由
近年では世界的にサイバー攻撃が激化しており、悪意のある第三者によるサイバー攻撃から自社のデータを守る重要性が高まっています。
企業活動はインターネットなくして成り立たなくなってきており、どの企業であっても、自社のサーバーに製品に関する機密情報や、顧客情報などの個人情報が数多く保管されています。誤ったデータ管理によって重要なデータが流出すると、自社の信頼低下だけでなく、個人情報の漏えいによる賠償請求などの重大なトラブルにもつながるおそれがあるのです。
セキュリティポリシーを策定することによって日頃からセキュリティに対する意識を高めるとともに、データの取り扱いに十分な注意を払い、トラブルが起こらないような社内環境を整えることが重要です。
セキュリティポリシーの3要素
セキュリティポリシーには、「基本方針」「対策基準」「実施手順」の3要素があります。
ここでは、それぞれの要素について詳しく解説します。
基本方針
基本方針においては、自社のセキュリティポリシーに対する基本的な考え方を掲げます。基本方針には「なぜセキュリティポリシーを策定する必要があるのか」「顧客情報の取り扱い方針」などを組織の代表者が宣言するのが一般的です。
自社にとってセキュリティポリシーを策定する意義とは何なのか、どのように重要な情報を取り扱っているのかなどを最初に宣言しておき、そのうえで具体的な対策基準や実施手順に落とし込んでいきます。なお、基本方針の段階で適用範囲や対象者なども決めておきましょう。
対策基準
基本方針を定めた後は、対策基準でガイドラインを掲載します。基本方針で定めたセキュリティポリシーの策定意義や顧客情報の取り扱い方針を守るために、具体的にどのような対策を実施するのかを記載するのがガイドラインです。
ガイドラインでは、対策方法や基準をできるだけ明確に記載することが求められます。例えば「情報管理責任者を置く」ではなく、「情報管理責任者を1名置く」といったイメージで、できるだけ細かく記載することが求められます。ただし、具体的な運用フローについては次の「実施手順」で詳しく記載するため、対策基準においては「どのような対策を実施するか」だけを記載するのが一般的です。
実施手順
実施手順においては、前述の対策基準で記載したガイドラインを具体的にどのように運用するのかを記載します。マニュアルの要領で書き進めていき、読んだ人が手順どおりに実行すればセキュリティポリシーが遵守されるような内容に仕上げることが大切です。
できるだけ一つひとつの手順を詳しく記載して、誰でも容易に理解できる内容になっているかどうかを意識しましょう。
セキュリティポリシー策定時のポイント
セキュリティポリシー策定時は、「つくっただけ」で終わるのではなく、「積極的に利用されるセキュリティポリシー」に仕上げるためにも、次の4つのポイントを押さえて策定を進めることが大切です。一つひとつのポイントについて詳しく見ていきましょう。
誰でもわかりやすい内容を意識する
前述のとおり、実施手順では対策基準で記したガイドラインをできるだけ具体的に記すことが大切です。曖昧な記述になってしまうと、オペレーションを行う個々の従業員によって判断が分かれてしまい、策定者が意図した運用にならず、セキュリティポリシーが守られないおそれがあります。
例えば「離席時はスクリーンセーバーを設定しておく」というセキュリティポリシーが記載されていた場合、人によっては「パソコンを触らなくなってから3分でスクリーンセーバーが起動する」という設定にする人もいれば、「パソコンを触らなくなってから10分でスクリーンセーバーが起動する」という設定にする人もいるでしょう。このような齟齬を避けるためにも、「離席から〇分で起動するように設定する」というイメージで、具体的に記載することが重要です。
責任の所在を明確にする
セキュリティポリシーを策定するときは、責任の所在を明確にして体制整備を行うことが大切です。各オペレーションの運用担当者が誰であり、指揮系統はどのような流れになっているのかを明らかにしたうえでセキュリティポリシーを策定しなければ、いざトラブルが起こったときにどのような流れで初動対応を行わなければならないのかがわからず、現場の混乱を招きます。
また、責任の所在を明確にすることで自身の業務に対して責任意識を持ち、セキュリティへの意識を高めてトラブルを未然に防止する効果も期待できます。
PDCAサイクルを回しやすい内容にする
セキュリティポリシーは一度作成して終わりではなく、PDCAサイクルを回して常に改善し続けることが大切です。策定後の運用でうまく回らない部分があったり、策定したものの遵守することが現実的に難しい内容になってしまっていたりする場合には、随時運用しやすい内容に改めていくことでより洗練されたセキュリティポリシーに近づきます。
PDCAサイクルを効果的に回し続けるには、定期的に会議などを開催してセキュリティポリシーを見直す場を設けることをおすすめします。その際、現場の意見も十分に取り入れたうえで、より運用しやすいのはどのような内容なのかを十分に見極めることが大切です。
PDCAサイクルとは
PDCAサイクルとは、「Plan(計画)」「Do(実行)」「Check(評価)」「Action(改善)」の4つのサイクルを繰り返してひとつの物事を改善していくための、品質管理の手法のことです。最初に計画を立て、それを実行し、実行後に評価を行って問題点や課題を発見したら、どのように改善できるのかを洗い出して実際に改善策を反映させるための計画を立てます。
改善策を計画に反映させた後は再び実行し、評価、再び改善の流れを繰り返すことで、より品質を高めていくのがPDCAサイクルの目的です。
セキュリティポリシーの遵守にはAzureがおすすめ
策定したセキュリティポリシーを遵守するためには、高いセキュリティの確保が重要です。高レベルなセキュリティを確保するなら、Microsoft社が提供しているクラウド基盤の「Azure」がおすすめです。
大手建設機械メーカーのA社では、十分なセキュリティ対策が施されていることを理由にクラウド基盤としてAzureを採用しました。同社はグローバル展開を行うために欧州のGDPR準拠が必要であり、GDPR 準拠を支援する機能が搭載されているAzureに魅力を感じたと同時に、セキュリティポリシーの見直しにもシームレスに対応できる点に魅力を感じたと答えています。
このように、セキュリティポリシーを策定する際には、Azureのようなツールを活用するとよりスムーズに行うことができます。
まとめ
セキュリティポリシーを策定すると、社内のセキュリティに対する取り扱い方針を定め、責任の所在を明確にすることが可能になります。基本方針、対策基準、実施手順の3つの要素を丁寧に策定し、誰にでもわかりやすい内容を目指しましょう。
策定したセキュリティポリシーは、PDCAサイクルを回してより洗練された内容に改定していくことが大切です。高いセキュリティを確保するなら、クラウド基盤のAzureの導入もおすすめです。
