-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
情報セキュリティポリシーとは、組織や企業が情報セキュリティを確保するため、つまり自らの持つ情報を適切に管理し保護するための方針や体制、規則、対策などについて定めた文書のことです。一般的には、大きく分けて「基本方針」、「対策基準(対策規程)」、「実施手順」の3つの階層で構成されています。
①基本方針
主に情報セキュリティに対する組織の基本方針や宣伝を記述する文書です。例えば、「どのような方針で情報セキュリティを考えるのか」、「顧客情報はどのような方針で取り扱うのか」などに関するおおまかな方向性などを記載します。
(記載事項の例:ポリシーの目的、ポリシー文書の構成、適用範囲、適用対象者、体制・役割など)
②対策基準(対策規程)
基本方針に記載した事項を実際に達成するための具体的な規則(情報セキュリティ対策の指針)を示した文書群です。多くの場合、対策基準にはどのような対策を行うのかという一般的な規程のみを記述し、細かな手順については次の「実施手順」の中で詳しく記述します。
(記載事項の例:入退出管理基準、セキュリティ教育基準、アクセス制御・認証関連基準、IT機器利用基準、マルウェア対策基準、リモートワーク管理基準など)
③実施手順
対策基準に定めた対策ごとに、実施すべき内容を、セキュリティ製品の使用法なども含めて具体的に手順として記述した文書群です。
(記載事項の例:入退出管理マニュアル、セキュリティ教育実施手順、アクセス制御・認証関連基準、IT機器導入手順、マルウェア対策ソフト導入手順、リモートワーク実施マニュアルなど)
情報資産を守るための体制作りやセキュリティ対策はセキュリティポリシーの内容に基づいて実施することになります。つまり、セキュリティポリシーは組織の情報セキュリティを確保する上での指針となる重要な存在です。
情報セキュリティポリシーを策定する目的は、主に以下の2点です。
- 情報資産をランサムウェア攻撃や不正アクセスなどのサイバー攻撃、フィッシング詐欺、ヒューマンエラー(クラウドの設定ミスなど)、内部不正者といった脅威から守ること
- そのために必要な体制や規則、対策などをきちんと明文化すること
なお、セキュリティポリシーは1回作ればそれで終わりというものではなく、新たなテクノロジーの登場や攻撃手法の変化、社内環境の変動などに応じて見直しと改訂を行う必要があります。
<情報セキュリティポリシーのPDCAサイクル>
※情報セキュリティポリシーについてさらに詳しくは、以下の記事もご覧ください:
とは?.jpg)
