サイバー攻撃などの情報セキュリティインシデントが対岸の火事ではなくなってきている昨今、企業にとってセキュリティ体制の構築は必須事項となっています。そしてそのためには、情報セキュリティを確保するための企業の方針や規則、対策などについて定めた「情報セキュリティポリシー」の存在が非常に重要です。
今回は、企業のセキュリティの要となるセキュリティポリシーについて、その策定目的や必要性、構成や記載事項の具体例、ポリシー策定の流れなどについてわかりやすく解説します。また、セキュリティポリシー策定時に役立つようなガイドラインや雛形(サンプル)なども紹介しますので、セキュリティポリシーの策定を検討中の方々の参考になれば幸いです。
・基本方針
・実施手順
1, 策定チームの確立
2, 基本方針の策定
3, 情報資産の洗い出し、リスク分析とその対策
4, 対策基準(対策規程)の決定
5, 実施手順の決定
6, 周知・公開
セキュリティポリシーに関連するガイドライン、参考サイト、雛形(サンプル)等
・総務省「国民のためのサイバーセキュリティサイト」
・総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和4年3月版)」
・文部科学省「教育情報セキュリティポリシーに関するガイドライン(令和3年5月版) 」
・JNSA「情報セキュリティポリシーサンプル改版(1.0版)」
・IPA「中小企業の情報セキュリティガイドライン第3.1版」および付録5「情報セキュリティ関連規程(サンプル)」
・東京都産業労働局「INFORMATION 6-4 App.03 情報セキュリティ関連規程に記載すべき項目」
最後に
・マキナレコードのセキュリティポリシー・規程策定支援サービス
情報セキュリティポリシーとは?
情報セキュリティポリシー(以下、「セキュリティポリシー」)とは、組織や企業が情報セキュリティを確保するため、つまり自らの持つ情報を適切に管理し保護するための方針や体制、規則、対策などについて定めた文書のことを言います。セキュリティポリシーには主に、情報セキュリティに対する基本的な考え方、守るべき情報資産、その資産に対してもたらされ得る脅威、脅威から資産や企業を守るための規則や対策といった事項を具体的に記載します。
セキュリティポリシーが必要な理由
どのような組織・企業においても、情報セキュリティを確保するためにはセキュリティポリシーの策定は重要とされています。特に、「情報セキュリティマネジメントシステム(ISMS)※」の確立にあたって、セキュリティポリシーの策定は必須であると言えます。というのも、情報資産を守るための体制作りやセキュリティ対策はセキュリティポリシーの内容に基づいて実施することになるからです。セキュリティポリシーは、いわば組織のセキュリティを支える柱のようなものだと考えることができます。
※ISMSについて、詳しくは以下の記事で解説しています:
では、セキュリティポリシーの必要性や重要性について、策定の目的や効果を踏まえてもう少し詳しく見ていきましょう。
セキュリティポリシー策定の目的・効果
セキュリティポリシーを策定する目的は、大きく分けて2つあります。1つ目は、企業の情報資産をランサムウェア攻撃や不正アクセスなどのサイバー攻撃、フィッシング詐欺、ヒューマンエラー(クラウドの設定ミスなど)、内部不正者といった脅威から守ることです。また、そのために必要な体制や規則、対策などをきちんと明文化することが、2つ目の目的です。
上記に加え、2次的なメリットとして、ポリシーの導入や運用を通して従業員の情報セキュリティに対する意識が向上したり、取引先や顧客からの信頼が向上したりすることなども期待できます。
そのほか、セキュリティポリシーを策定・導入することにより以下のような効果・メリットを得ることができます。
⚪顧客や従業員からのセキュリティ関連の疑問・質問に対する回答を用意できる。
⚪︎従業員は情報セキュリティに関して誰にどのような責任があるのかを把握できる。適切な情報資産の扱い方、デバイスの使用法などを理解できる。
⚪︎インシデント発生時(※)に何をすべきかを事前に把握できる。
⚪︎ポリシー策定の過程で自社や自社の情報に対する脅威・リスクおよびそれらに対する対策を特定することになるので、結果として企業全体の情報セキュリティが強化される。
※インシデント発生時の対応などについては、以下の記事で詳しく解説しています:
情報セキュリティ対策のPDCAサイクル
セキュリティポリシーは1回作ればそれで終わり、というものではありません。月日の経過とともに新たなテクノロジーが登場したり、これまでになかったサイバー攻撃の手法が使われ始めたり、社内環境が変化したりすることが考えられるため、ポリシーもそういった変動に合わせて見直しと改訂を行う必要があります。
下の図のようなPDCAサイクルを繰り返すことでポリシーを改善していくとともに、情報セキュリティ対策の水準を上げていくことを目指すことが重要です。
セキュリティポリシーの構成と内容
情報セキュリティポリシーは、大きく分けて「基本方針」、「対策基準(対策規程)」、「実施手順」の3つの階層で構成されるのが一般的です。ただし、実施手順のみ区別し、基本方針と対策基準のみをまとめて「情報セキュリティポリシー」と呼ぶ場合もあります。
基本方針
基本方針は、主に情報セキュリティに対する組織の基本方針や宣伝を記述する文書です。例えば、「なぜ情報セキュリティが必要であるのか」や「どのような方針で情報セキュリティを考えるのか」、「顧客情報はどのような方針で取り扱うのか」などに関するおおまかな方向性などを記載します。情報セキュリティは企業活動を支えるものであることから、この基本方針は経営方針を反映させた内容となるのが一般的です。
対策基準(対策規程)
対策基準は、基本方針に記載した事項を実際に達成するための具体的な規則(情報セキュリティ対策の指針)を示した文書群です。多くの場合、対策基準にはどのような対策を行うのかという一般的な規程のみを記述し、細かな手順については次の「実施手順」の中で具体的に記述します。個々の基準によっては、既存の企業文書(監査規程、就業規則、秘密保持契約など)との整合性を取ることが求められる場合があります。
実施手順
対策基準に定めた対策ごとに、実施すべき内容を、セキュリティ製品の使用法なども含めて具体的に手順として記述した文書群です。
セキュリティポリシーに記載する事項の具体例
基本方針に盛り込む項目の具体例
基本方針には主に、ポリシーの目的、ポリシーの適用範囲、ポリシーの適用対象者、情報セキュリティ体制と各部門・担当者等の役割、ポリシー文書の構成、ポリシー監査についての事項、ポリシー違反発見時の対応などが記載される場合が多いです。
以下の表では、基本方針に記載される文言の例をいくつか紹介しています。
項目 | 文言の例 |
ポリシーの目的 | 当社は、情報セキュリティ上のさまざまなリスクから情報資産を保護するために、「情報セキュリティポリシー」を策定する。 |
ポリシーの適用範囲 | 「情報セキュリティポリシーの適用範囲には、当社の情報資産に関連する人的・物理的・環境的リソースが含まれるものとする。 |
ポリシー監査について | 当社情報セキュリティ委員会は「情報セキュリティポリシー」を定期的にレビューし、必要に応じて、また従業員から集めた意見や要望に応じて、その内容の改訂を行うこととする。 |
ポリシー違反発見時の対応 | 従業員による「情報セキュリティポリシー」への違反行為が判明した場合、情報セキュリティ委員会が当該従業員への適切な処罰を講じることとする。 |
対策基準(対策規程)に盛り込む項目の具体例
対策基準は、入退出の管理基準、セキュリティ教育基準、アクセス制御・認証関連基準、IT機器利用基準、マルウェア対策基準、テレワーク管理基準、クラウド選定基準、委託先管理基準といった複数の基準群から構成されるのが一般的です。
以下の表では、入退出の管理基準およびセキュリティ教育基準における文言の例をいくつか紹介しています。
<入退出の管理基準>
項目 | 文言の例 |
基準の対象者 | 本基準は、当社の建物・部屋の利用に関わるすべての従業員を対象とする。 |
遵守事項 | 当社の建物・部屋には必ず施錠設備を設け、従業員不在時には施錠することとする。 |
遵守事項 | 当社の建物・部屋内のセキュリティ区画(重要度の高い機器や設備が設置されている場所など)への入退出については、すべてを記録すること。 |
運用確認 | 本基準に基づいて入退出の記録・管理・運用が行われているかどうかを定期的に確認すること。 |
<セキュリティ教育基準>
項目 | 文言の例 |
目的 | 情報セキュリティ意識の向上のため、また各自の責任およびその責任を果たす方法についての理解を促すため、情報資産に携わるすべての従業員に対して情報セキュリティ教育を実施することとする。 |
新入社員、中途採用者への教育 | 教育担当部門は、新入社員と中途採用者に対して、入社時に情報セキュリティ教育を実施しなければならない。 |
教育資料 | 社内環境の変化等が反映された内容で適切に教育を実施できるよう、教育資料は定期的に見直し、必要に応じて改訂すること。 |
実施手順に盛り込む項目の具体例
先ほど紹介した対策基準に沿って例を挙げると、実施手順には入退出管理マニュアル、セキュリティ教育実施手順、アクセス制御・認証導入手順、IT機器導入手順、マルウェア対策ソフト導入手順、テレワーク実施マニュアル、クラウド選定マニュアル(※)、委託先管理マニュアルなどが含まれることになります。
具体的には、例えばマルウェア対策ソフト導入手順の場合、以下のような内容が記載されます。
・マルウェア対策ソフトのインストール方法(URLや手順など)
・自動検知機能の有効化手順
・マルウェア定義ファイル(パターンファイル)の更新方法やルール など。
セキュリティポリシー策定の流れ
セキュリティポリシーは、以下のような流れで策定するのが一般的です。
1, 策定チームの確立
セキュリティポリシーの策定はある程度の期間、労力、セキュリティの知識を要する作業になるため、多くの場合、専門チームが結成されます。
2, 基本方針の策定
まずは、経営方針などを踏まえて基本方針を策定します。
3, 情報資産の洗い出し、リスク分析とその対策
自社が持つ情報資産を洗い出し、各資産についてどのようなリスクが想定されるのかを評価・分析します。リスクが特定できれば、必要な対策が見えてきます。
4, 対策基準(対策規程)の決定
各対策について、一般的な規程を決定し文書にまとめます。
5, 実施手順の決定
各対策基準について、具体的な実施手順を定めて文書化します。
6, 周知・公開
策定したセキュリティポリシーを従業員や関係者に周知します。ポリシーの大部分は従業員および関係者向けの内容ですが、基本方針に関しては企業のホームページなどで一般公開される場合もあります。
セキュリティポリシーに関連するガイドライン、参考サイト、雛形(サンプル)等
総務省「国民のためのサイバーセキュリティサイト」
同サイト内の以下のページでは、セキュリティポリシーの概要や目的、構成などが簡潔に説明されています。
総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和4年3月版)」
地方公共団体を対象とした情報セキュリティポリシーのガイドラインですが、民間企業にとっても参考になるような情報が豊富に記載されています。
文部科学省「教育情報セキュリティポリシーに関するガイドライン(令和3年5月版) 」
主に教育関連情報のセキュリティポリシーを中心とした内容ではありますが、一般的なセキュリティポリシーの策定時にも役立つような情報が提供されています。
JNSA「情報セキュリティポリシーサンプル改版(1.0版)」
日本ネットワークセキュリティ協会(JNSA)はセキュリティポリシーのサンプルを提供しているので、企業はこの内容を参考に自社のポリシーの作成に取り組むことができます。
IPA「中小企業の情報セキュリティガイドライン第3.1版」および付録5「情報セキュリティ関連規程(サンプル)」
独立行政法人情報処理推進機構(IPA)のこのガイドラインは中小企業向けに情報セキュリティの概要を解説したもので、セキュリティポリシー策定時に役立つような情報が多数記載されています。
また、同ガイドラインの付録である「情報セキュリティ関連規程(サンプル)」は、セキュリティポリシーの対策基準や実施手順を作成する際の参考にすることが可能です。このサンプルは、こちらのページよりダウンロードすることができます。
東京都産業労働局「INFORMATION 6-4 App.03 情報セキュリティ関連規程に記載すべき項目」
このページでは、IPAの中小企業向けガイドラインの簡易版のような形で、情報セキュリティ規程の作成方法や記載すべき項目が簡潔に解説されています。
最後に
以上、簡単にではありますが、情報セキュリティの要となるセキュリティポリシーの概要や重要性、構成などについて解説してみました。もちろん、セキュリティポリシーを持たない企業であっても、セキュリティ対策を実施することは可能かもしれません。しかし、ポリシーによって全社共通の基準やルールを定めていない場合、各部署で対策や手順にばらつきが出たり、統一的な対策を実施できなくなったりする恐れがあります。必要な対策を適切に実施し、セキュリティを向上させていくためにはセキュリティポリシーを策定しておくのが理想的です。
ただ、企業の規模や事業内容、扱う情報の量・種類などによっては、社内の人員のみでポリシーを策定するのが難しいかもしれません。そのような場合は、セキュリティポリシーの策定を支援する外部コンサルサービスの利用を検討してみることをお勧めします。
マキナレコードのセキュリティポリシー・規程策定支援サービス
弊社マキナレコードでも、情報セキュリティポリシーをはじめとして、社内システム規程、アクセス管理規程、セキュリティインシデント管理規程、内部監査規程など、会社運営で必要となるさまざまなセキュリティの規程類の策定をお手伝いしています。ゼロからの策定はもちろん、既存ポリシー・規程のレビューや各種ガイドラインの検討・策定についても、経験豊富なコンサルタントが支援いたします。
サービスについて詳しくは、弊社ホームページをご覧ください。
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。