HOMEビジネス 情報セキュリティポリシーとは?基本の構成と整備する5つのポイントを解説

情報セキュリティポリシーとは?基本の構成と整備する5つのポイントを解説

U-NOTE編集部

2023/01/04(最終更新日:2023/01/04)


このエントリーをはてなブックマークに追加

顧客情報や取引先の情報、従業員情報など、さまざまな情報をネットワークやサービス上で扱うようになった昨今、重視されているのが「情報セキュリティポリシー」です。経営者や情報管理の責任者・担当者であれば、自社の情報セキュリティ対策や基本指針は必ず考えておかなくてはなりません。

本記事では、そんな情報セキュリティポリシーの基本知識をわかりやすく解説。構成する3つの要素や定めた情報セキュリティポリシーを整備する5つのポイントなどもご紹介しています。中小企業の経営者や情報管理責任者はぜひ参考にしてみてください。

本記事の内容をざっくり説明
  • 情報セキュリティポリシーを構成する3要素とは
  • 定めておきたい情報セキュリティポリシーのガイドラインをご紹介
  • 情報セキュリティポリシーを策定・整備する際のポイントを解説

 

情報セキュリティポリシーとは

情報セキュリティポリシーとは、企業や組織が策定する情報セキュリティ対策の方針および行動方針のことです。

一般的に情報セキュリティーポリシーには、どのような情報資産を自社で扱い、また脅威から保護するのかといった基本的な情報を記載します。さらに、情報セキュリティを確保するための運用規定や運用体制、基本方針に加えて基本対策なども具体的に明記します。

情報セキュリティポリシーは、企業や組織が持つ情報資産を保護するために作成されるものですが、メリットはそれだけではありません。

導入や対策を実施することを通して、従業員の情報セキュリティリスクへの意識向上を図れたり、取引先からの信頼を得やすくなったりするのもメリットといえます。

情報セキュリティポリシーによって従業員一人ひとりの意識が高まることで、情報漏えいやサーバーウイルスなどの脅威から、大切な情報資産を守ることができるのです。

参照元:総務省「情報セキュリティポリシーの概要と目的

 

情報セキュリティポリシーが重視されている理由

企業や組織にとって、情報セキュリティのリスクマネジメントは重要な経営課題です。個人情報や顧客情報などをクラウドや自社システム上で一括管理している企業は多いため、万が一、セキュリティトラブルが起きてしまった場合、大きな問題へと発展しかねません。そうした情報管理のリスクマネジメントを行う際に意識したいのが、情報セキュリティポリシーです。

 

サイバー攻撃への対策のため

情報セキュリティポリシーは、サイバー攻撃への対策として有効と認識されています。

例えば、従業員が使用するパソコンがウイルスに感染してしまった場合、そのパソコンで自社のネットワークや情報管理クラウドにアクセスしてしまうと、システムの停止やほかにログインしている従業員への感染は避けられません。

情報セキュリティーポリシーがきちんと構築されていれば、そうしたウイルス感染や外部からのサイバー攻撃などに備えることが可能。業務が止まってしまうリスクを減らせるほか、ブランドイメージを毀損せずに済みます。

 

情報漏えいを防ぐため

今や企業や組織は、顧客や事業などの情報のほとんどをシステムで管理しています。利便性は向上したものの、情報漏えいによる信頼の失墜や情報システム停止による損失など、常に情報セキュリティのリスクとは隣合わせの状態にあります。

情報セキュリティ対策を行えば、企業はそうした情報漏えいのリスクを少なくすることが可能です。顧客の情報流出による企業イメージの損失を未然に防ぐことができます。

 

情報セキュリティポリシーの構成

情報セキュリティポリシーは、基本方針、対策基準、実施手順・運用規則の3つの要素で成り立っています。いきなり対策方法や運用規則などを決めようとすると、漏れが生じてしまい、有事の際に適切な行動が取れなくなります。必ずこの階層を意識し、まずは基本方針からしっかりと決めましょう。

基本方針

情報セキュリティポリシーを構成する要素のひとつが「基本方針」です。

なぜ情報セキュリティポリシーを決める必要があるのか、どのような方針で情報セキュリティについて考えるのかなど、企業として情報セキュリティポリシーを定める際の姿勢を示します。

宣言する内容としては、「経営者の責任」「社内体制の整備」「従業員の取り組む内容と責務」「法令及び契約上の要求事項の遵守」「違反及び事故への対応」などがあげられます。

情報セキュリティポリシーの全体を網羅して記載するのが「基本方針」です。

参考:JNSA「情報セキュリティ基本方針

 

対策基準

「対策基準」では、基本方針を基に情報セキュリティ対策を実践する際の具体的な規則を記述します。

まずは、対策基準を定める目的を明記。そして、対策基準を示した資料内で使う用語の定義を記載します。あとは、情報資産の管理方法や物理的・人的・技術的な対策について漏れがないように詳細に記します。

基本方針がしっかりと定められており、情報資産の洗い出しとリスク分析などを行っておくと、対策基準を漏れなく記述することができます。

参考:新宿区情報セキュリティ対策基準

 

実施手順・運用規則

基本方針と対策基準を決めたあとは、「実施手順および運用規則」を定めます。

実施手順では、情報セキュリティ対策を行う際の具体的な手順を記載します。「誰が」「どのような情報を扱うとき」の手順なのかがわかるように記述しましょう。

運用規則とは、情報セキュリティに関する運用規則のことです。

例えば、情報システムには適切なパスワードをかけて不要なアクセスを防ぐ対策が必須。その場合に使用したパソコンから離れる際は、必ずロックをかけて他人が使えないようにしたり、USBメモリを使用する際はセキュリティロック機能付きのみに限定したりなどが規則として考えられます。

セキュリティを確保するためにどんな規則が必要かを考えることで、自ずと定めるべき運用規則が見えてきます。

 

情報セキュリティポリシーとして定めておきたいガイドライン例

全社員が利用するネットワークやサーバーの運用など、決めておかなければならない情報セキュリティポリシーがいくつか存在します。企業はどのようなガイドラインを用意するべきなのでしょうか。情報セキュリティポリシーとして定めておきたいガイドラインの例をご紹介します。

 

ネットワーク利用ガイドライン

「ネットワーク利用ガイドライン」とは、自社システムやサイトの利用に関する事項をまとめたガイドラインのことです。どんな目的でシステムやサイトが運営されているのか、そしてその目的にそぐわない利用方法として、どんな使い方が禁止されているのかなどを記述します。

利用上の遵守事項や最低限守るべきルールに加えて、法律上の義務も記載しましょう。ネットワークを利用するのが従業員だけだからといって、個人の良識にすべての判断を委ねるとインシデントに繋がりかねません。

情報漏えいやサーバー攻撃などのトラブルを避けるためにも、多くの従業員が利用するネットワークの利用ガイドラインはきちんと設けておき、必ず周知させましょう。

 

システム開発ガイドライン

「システム開発ガイドライン」は、新たなシステムの構築や既存システムの拡張・改善作業を行う際の参考となるガイドラインのことです。システム開発ガイドラインを定めておくことで、品質・費用・納期の確保が可能になり、信頼性や安全性の高いシステム開発が期待できます。

システム開発ガイドラインには、プロジェクトにおけるシステム開発のフローの図やシステムの要件定義やその実施者を記載します。プロジェクト規模にもよりますがガイドラインに記述する情報量は非常に多く、また作業工程に応じて段階的にガイドラインが書かれた資料の作成が求められます。

 

サーバー運用ガイドライン

「サーバー運用ガイドライン」は、サーバーの運用・管理に関する必要事項をまとめたガイドラインです。

例えば、社内のファイルサーバーは多くの従業員が利用します。新たなフォルダを作成したり、ファイルを格納したりと、さまざまな方が作業を行います。その際に運用ガイドラインが決まっていないと、適切な書類管理ができず、書類を探す作業に時間がかかってしまうことが考えられます。

サーバー運用ガイドラインで記述するべき項目は、ファイル名の表記ルールとサーバー肥大化を防ぐためのルール、そしてアクセス権限を限定するなどのセキュリティ対策です。

 

テレワークセキュリティガイドライン

「テレワークセキュリティガイドライン」は、企業や組織がテレワークを導入する際の情報セキュリティ対策の指針となるガイドラインです。

情報通信技術の進歩により、インターネット環境とそれにアクセスできる端末があれば、オフィス以外の場所でもさまざまな仕事ができるようになりました。テレワークの導入は、移動時間の節約や通勤ストレスからの解放など、さまざまなメリットがあります。

ただ一方で、オフィスネットワークを経由せずにインターネットを利用するため、セキュリティ対策が万全ではなくなってしまうというデメリットもあります。そうしたテレワークにおける情報セキュリティのリスクを軽減するための参考資料が、テレワークガイドラインです。

参考:総務省「テレワークセキュリティガイドライン(第5版)

 

情報セキュリティポリシーを整備する5つのポイント

情報セキュリティポリシーは、自社が保有する守るべき資産をすべて網羅し、考えうるリスクや実現可能な対策・対応を考えることが非常に重要です。机上の空論になってしまっていては、定める意味がありません。実際に役立つ情報セキュリティポリシーを整備する5つのポイントを解説します。

情報セキュリティポリシーを整備する5つのポイント
  • ポイント1.守るべき資産を明確にする
  • ポイント2.責任者と体制を明確に定める
  • ポイント3.具体的にイメージできる内容を定める
  • ポイント4.社内全員に共有する
  • ポイント5.定期的にアップデートをする

 

ポイント1.守るべき資産を明確にする

情報セキュリティポリシーを整備する1つ目のポイントは、守るべき資産を明確にすることです。

情報セキュリティポリシーの階層における「基本方針」を決める前にすべきことのひとつです。情報資産が主ですが、一口に情報資産といっても顧客データや取引先のデータなど、企業が保有している情報にはさまざまな種類があります。何が資産だと認識しているのかについて、社内で共通の認識を持つことで、資産を守りやすくなります。

外部に漏えいしたり、抜き取られたりした場合に大きなトラブルへと発展する情報は、すべて企業が守るべき資産です。外部・内部の情報と区別せず、すべての資産を洗い出しましょう。

 

ポイント2.責任者と体制を明確に定める

情報セキュリティポリシーを整備する2つ目のポイントは、責任者と体制を明確に定めることです。

企業が扱う情報は、種類によって管理の役割を担っている責任者が異なります。守るべき資産を明確にしたあとは、各資産の管理者の洗い出しを行いましょう。具体的な人名を記載しても問題ありませんが、一般的には「◯◯の担当者」や「◯◯の責任者」と記述します。

責任者を定めたら、情報セキュリティポリシーの運用体制も明確にします。責任者以外にどの従業員を配置して、どのような役割を与えるのかを決定しましょう。

適切な人材を確保するほか、品質を向上させるために外部の専門家に参加を依頼することも重要です。

 

ポイント3.具体的にイメージできる内容を定める

情報セキュリティポリシーを整備する3つ目のポイントは、具体的にイメージできる内容を定めることです。

従業員は、定めた情報セキュリティポリシーを基に情報セキュリティ対策や有事の際の対応を行います。できる限り具体的に記述するのはもちろんのこと、運用体制を考慮しながら対応内容を決めることも重要なポイントです。

また、社内の状況も踏まえた実現可能な情報セキュリティポリシーであることも大切です。完成した情報セキュリティポリシーに目を通した従業員が、自身の役割や万が一のことが起きたときの行動をイメージしやすい内容になっているかどうかを必ず確認しましょう。

 

ポイント4.社内全員に共有する

情報セキュリティポリシーを整備する4つ目のポイントは、社内全員に共有することです。

情報セキュリティポリシーには、なぜ対策が必要なのかや問題が起きてしまった場合の対応など、情報セキュリティに関する方針やさまざまな情報がまとめられています。

ことが起きた際に役立つほか、情報セキュリティへの意識を高めることにも役立つのが特徴。一度は目を通しておくことで、従業員が誤った行動を選択するリスクを減らせます。

全社への共有は、資料を口頭で説明する機会を設けるのがおすすめ。各自で目を通すよう依頼した場合、確認するのを忘れてしまう従業員も少なからずいるはずです。口頭で説明すれば、全員が必ず一度は資料を確認する機会にもなります。

 

ポイント5.定期的にアップデートをする

情報セキュリティポリシーを整備する5つ目のポイントは、定期的にアップデートをすることです。

情報セキュリティポリシーは、社内の状況や人員配置の変更などに合わせてアップデートしていくもの。一度定めて終わりではなく、定期的に見直しすることが大切です。

サイバー攻撃やウイルス感染など、外部の脅威も日々変化していきます。常に最新の攻撃の手口を把握しておき、自社の情報セキュリティ対策が対応できているかどうかも定期的に確認しましょう。

 

情報セキュリティへの知見を高めるのにおすすめの資料

情報セキュリティへの知見を高めるには、基本の考え方から実践時のポイントまでがまとめられた資料を読み込むのがおすすめ。独立行政法人情報処理推進機構(IPA)が企業の経営者向けに作成したガイドラインがいくつか公開されているので、まずはこの資料に目を通すことから始めましょう。

 

サイバーセキュリティ経営ガイドライン Ver 2.0

「サイバーセキュリティ経営ガイドライン Ver 2.0」は、サイバーセキュリティを強化するための最初のステップをわかりやすくまとめた資料です。

資料は3部構成になっており、1部ではサイバーセキュリティの概要や重要性が説明されています。2部では、サイバーセキュリティに関して経営者が認識すべき3原則を説明。そして3部では、サイバーセキュリティ対策の責任者に対して経営者が指示すべき10項目を取り上げています。

手口が巧妙化しているサイバー攻撃に備えて、どのように体制を構築したら良いのか、人材を確保すべきなのかを知りたい方は、ぜひ参考にしてみてください。

参考:経済産業省「サイバーセキュリティ経営ガイドライン Ver 2.0

 

サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第3版

「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第3版」は、2017年11月に発行された「サイバーセキュリティ経営ガイドライン Ver 2.0」を改訂した資料です。

経営者が認識すべき重要な10項目はそのままに、事例を基にしたプラクティス集を追加しています。実際に国内で見られた参考となる工夫が掲載されているので、サイバー攻撃対策やトラブルへの対応を強化したい場合の参考となります。

参考:サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第3版

 

中小企業の情報セキュリティ対策ガイドライン

2021年に公開された「中小企業の情報セキュリティ対策ガイドライン」は、情報セキュリティ対策に取り組む際の指針や、実践時の手順や手法をまとめた資料です。

IT専門用語があまり使われていないため、ITに詳しくない中小企業の経営者がセキュリティ対策ガイドラインを作成する際の参考資料として活用できます。

また、クラウドサービスを安全に利用するための手引きが付いているのもポイント。利用前のチェックポイントがわかりやすくまとまっているので、サービス導入後のセキュリティリスクに備えられます。

情報セキュリティ対策の基本をまず行いたい経営者におすすめの資料です。

参考:中小企業の情報セキュリティ対策ガイドライン第3版

 

自社の情報セキュリティポリシーを定めよう

本記事のまとめ
  • テレワークに対応する、新たな情報セキュリティポリシーの策定が求められている
  • 情報セキュリティポリシーの基本的な考え方は、独立行政法人情報処理推進機構が公開している資料から学ぶのがおすすめ

企業は、顧客や取引先の情報のほかに、自社の内部情報も守らなくてはなりません。従業員が多くなるほど情報漏えいのリスクは高まるので、なるべく早い段階で情報セキュリティポリシーは定めておきましょう。

本記事で紹介したポイントやおすすめの資料などに目を通し、自社の情報セキュリティポリシーを定める参考にしてみてください。

【関連記事】


hatenaはてブ