情報セキュリティマネジメント
情報システム部門 2022年6月3日

企業が情報セキュリティ対策を始めるには

私が今学習中の『IPA情報セキュリティマネジメント試験』ですが、前回の記事で「インターネットを安全に使う~暗号化技術~」について書きました。

今回も『情報セキュリティマネジメント』について覚えたことをみなさんに紹介していけたら良いなと思っています。みなさんの頭の中でふんわりイメージが浮かぶと嬉しいです。

安心してインターネットを使うために、『情報セキュリティマネジメント』を少しでも身近に感じて頂ければ幸いです。

情報セキュリティポリシーに基づく情報の管理

情報セキュリティ対策では、何をどのように守るのかを明確にしておく必要があります。

そのために、企業や組織として意思統一された情報セキュリティポリシーを策定して明文化し、それに基づく管理を行います。

情報セキュリティポリシーは、情報の機密性(特定の人以外は情報が見れないこと)や完全性(情報が改ざんされていないこと)、可用性(情報をいつでも参照できること)を維持していくために組織の方針や行動指針をまとめたものです。

策定する上ではまず、どのような情報(情報資産)を守るべきなのかを明らかにする必要があります。

情報セキュリティマネジメントを検討する時、技術的な対策は大切ですが、それ以外にも情報セキュリティポリシーを策定して管理する方法も推奨されています。

実際にどのようなセキュリティポリシーがあるのか調べてみました。

・ソフトバンク 情報セキュリティポリシー
・KDDI セキュリティポリシー

上記2サイトの内容を見ると、社内のセキュリティ対策について分かりやすくまとめられていて、この組織に対するイメージが上がります。また、サービスに対して安心感も生まれます。

具体的に策定されている内容は、管理体制、内部規定、監査体制、情報セキュリティ教育、業務委託先の管理についての基本方針などが示されています。

参考サイトは大手企業なので簡単に真似できる内容ではありませんが、組織で情報セキュリティマネジメントを実施している場合、対策の規模にかかわらず、公式サイトに実施内容を公開して宣言することは、デジタル社会が進む現代で大切なことのような気がしてきます。

情報セキュリティポリシーに従った組織運営

情報セキュリティポリシーに沿った組織運営を行うためには、明文化した文書を用意し、それに従って意思を統一する必要があります。

一般的に、情報セキュリティポリシーに関する文書は、方針、対策基準(ガイドライン)、実施手順(マニュアル)・手続き・規定等で構成されているそうです。その中でも方針、対策基準を情報セキュリティポリシーと呼ぶことが多いそうですが、特に定めれているわけではないそうです。

情報セキュリティポリシーの構成

情報セキュリティポリシーとは、組織の情報資産を守るための方針や基準を明文化したもので、基本構成は次の2つになるそうです。

情報セキュリティ方針(基本方針)

情報セキュリティに対する組織の基本的な考え方や方針(組織が目指す方向)を示すもので、経営陣によって承認されます。目的や対象範囲、管理体制や罰則などについて記述されており、全従業員及び関係者に通知して公表されます。

秘密にしておくものではなく、正しく組織内に伝達することや、必要に応じて利害関係者(ビジネスパートナー、地域住民など組織に関係するすべての人)が入手できるようにしておくことが求められます。

情報セキュリティの方針を考える時は、最終的に経営陣の承認が必要で、さらに全従業員への公表や利害関係者も入手できるようにしておく必要があるようです。

簡単に検討できることではないと感じますが、組織で一貫した基本方針が示された時、セキュリティ対策の強化と併せて組織のイメージアップにも繋がり、目標達成の近道になるのではないかと思いました。

情報セキュリティ対策基準

情報セキュリティ基本方針と、リスクアセスメントの結果※1に基づいて対策基準を決めます。適切な情報セキュリティレベルを維持・確保するための具体的な順守事項や基準(法律やルールなどを守るための抽象的な基準)を定めます。

※1リスクアセスメントは、それぞれの情報資産に対する脅威(損害を与える原因)や脆弱性(弱点)を考慮してリスクの大きさを推定して分析し、それぞれのリスクの発生頻度を予測したり、発生した場合の影響範囲などを想定して評価することです。

対策基準は、基本方針とリスクアセスメントに基づいて、指針(法律やルールに基づいた方針よりも具体的なガイドライン)を決めていくようです。

また、上記の対策基準を元に作られるのが実施手順(マニュアル)・手続き・規定となり、最終的にはセキュリティ教育を実施する場合の頻度や対象者など、さらに具体的な内容を検討していきます。

※このブログ記事は、「情報セキュリティマネジメント教科書」を引用しています。

徹底攻略 情報セキュリティマネジメント教科書
株式会社わくわくスタディワールド 瀬戸美月/齋藤健一 著

情報セキュリティポリシーを作るにあたり、ざっくりとした内容は理解できましたが、具体的にどんなことからスタートしたら良いかわからないな。と感じます。そんな時のためにIPAでは「中小企業の情報セキュリティ対策ガイドライン」が用意されています。

このガイドラインは付録が7種類あり、基本方針やセキュリティハンドブック、規定のサンプルなどもあります。段階的に取り組みやすい内容となっていますので、ご興味のある方はご覧頂けると良いと思います。

組織で情報セキュリティをご検討頂いているご担当者さまには、セキュリティポリシーの策定をきっかけにして ”組織の環境づくり” をご検討いただくのもよいと思いました。

「情報セキュリティマネジメント」は奥が深くて大変そうですが、IT資産の利用はセキュリティ投資とセットで考えていくことがとても重要だと思います。できることで良いので少しずつ対策を取って行けたらと思います。

弊社には「情報処理安全確保支援士(略して:登録セキスペ)」が在籍しています。
『情報セキュリティ』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。

記事の著者:

Web制作ならアズシエルにご相談ください。

Web制作パートナーとしてサイトの企画からデザイン、運用まで支援します!Webサイト制作についてはこちらからサービスをご確認ください!

Web広告運用代行サービス

この記事をSNSでシェアする!