情報セキュリティマネジメント
情報システム部門 2022年6月3日

企業が情報セキュリティー対策を始めるには

私が今学習中の『IPA情報セキュリティマネジメント試験』ですが、前回の記事で「インターネットを安全に使う~暗号化技術~」について書きました。

今回も『情報セキュリティーマネジメント』について覚えたことをみなさんに紹介していけたら良いなと思っています。みなさんの頭の中でふんわりイメージが浮かぶと嬉しいです。

安心してインターネットを使うために、『情報セキュリティーマネジメント』を少しでも身近に感じて頂ければ幸いです。

情報セキュリティーポリシーに基づく情報の管理

情報セキュリティー対策では、何をどのように守るのかを明確にしておく必要があります。

そのために、企業や組織として意思統一された情報セキュリティーポリシーを策定して明文化し、それに基づく管理を行います。

情報セキュリティーポリシーは、情報の機密性(特定の人以外は情報が見れないこと)や完全性(情報が改ざんされていないこと)、可用性(情報をいつでも参照できること)を維持していくために組織の方針や行動指針をまとめたものです。

策定する上ではまず、どのような情報(情報資産)を守るべきなのかを明らかにする必要があります。

出典:徹底攻略 情報セキュリティマネジメント教科書

情報セキュリティーマネジメントを検討する時、技術的な対策は大切ですが、それ以外にも情報セキュリティーポリシーを策定して管理する方法も推奨されています。

実際にどのようなセキュリティーポリシーがあるのか調べてみました。

・ソフトバンク 情報セキュリティーポリシー
・KDDI セキュリティーポリシー

上記2サイトの内容を見ると、社内のセキュリティー対策について分かりやすくまとめられていて、この組織に対するイメージが上がります。また、サービスに対して安心感も生まれます。

具体的に策定されている内容は、管理体制、内部規定、監査体制、情報セキュリティー教育、業務委託先の管理についての基本方針などが示されています。

参考サイトは大手企業なので簡単に真似できる内容ではありませんが、組織で情報セキュリティーマネジメントを実施している場合、対策の規模にかかわらず、公式サイトに実施内容を公開して宣言することは、デジタル社会が進む現代で大切なことのような気がしてきます。

情報セキュリティーポリシーに従った組織運営

情報セキュリティーポリシーに沿った組織運営を行うためには、明文化した文書を用意し、それに従って意思を統一する必要があります。

一般的に、情報セキュリティーポリシーに関する文書は、方針、対策基準(ガイドライン)、実施手順(マニュアル)・手続き・規定等で構成されているそうです。その中でも方針、対策基準を情報セキュリティーポリシーと呼ぶことが多いそうですが、特に定めれているわけではないそうです。

情報セキュリティーポリシーの構成

情報セキュリティーポリシーとは、組織の情報資産を守るための方針や基準を明文化したもので、基本構成は次の2つになるそうです。

情報セキュリティー方針(基本方針)

情報セキュリティーに対する組織の基本的な考え方や方針(組織が目指す方向)を示すもので、経営陣によって承認されます。目的や対象範囲、管理体制や罰則などについて記述されており、全従業員及び関係者に通知して公表されます。

秘密にしておくものではなく、正しく組織内に伝達することや、必要に応じて利害関係者(ビジネスパートナー、地域住民など組織に関係するすべての人)が入手できるようにしておくことが求められます。

情報セキュリティーの方針を考える時は、最終的に経営陣の承認が必要で、さらに全従業員への公表や利害関係者も入手できるようにしておく必要があるようです。

簡単に検討できることではないと感じますが、組織で一貫した基本方針が示された時、セキュリティー対策の強化と併せて組織のイメージアップにも繋がり、目標達成の近道になるのではないかと思いました。

情報セキュリティー対策基準

情報セキュリティー基本方針と、リスクアセスメントの結果※1に基づいて対策基準を決めます。適切な情報セキュリティーレベルを維持・確保するための具体的な順守事項や基準(法律やルールなどを守るための抽象的な基準)を定めます。

※1リスクアセスメントは、それぞれの情報資産に対する脅威(損害を与える原因)や脆弱性(弱点)を考慮してリスクの大きさを推定して分析し、それぞれのリスクの発生頻度を予測したり、発生した場合の影響範囲などを想定して評価することです。

対策基準は、基本方針とリスクアセスメントに基づいて、指針(法律やルールに基づいた方針よりも具体的なガイドライン)を決めていくようです。

また、上記の対策基準を元に作られるのが実施手順(マニュアル)・手続き・規定となり、最終的にはセキュリティー教育を実施する場合の頻度や対象者など、さらに具体的な内容を検討していきます。

出典:徹底攻略 情報セキュリティマネジメント教科書

情報セキュリティーポリシーを作るにあたり、ざっくりとした内容は理解できましたが、具体的にどんなことからスタートしたら良いかわからないな。と感じます。そんな時のためにIPAでは「中小企業の情報セキュリティ対策ガイドライン」が用意されています。

このガイドラインは付録が7種類あり、基本方針やセキュリティハンドブック、規定のサンプルなどもあります。段階的に取り組みやすい内容となっていますので、ご興味のある方はご覧頂けると良いと思います。

組織で情報セキュリティーをご検討頂いているご担当者さまには、セキュリティーポリシーの策定をきっかけにして ”組織の環境づくり” をご検討いただくのもよいと思いました。

「情報セキュリティーマネジメント」は奥が深くて大変そうですが、IT資産の利用はセキュリティー投資とセットで考えていくことがとても重要だと思います。できることで良いので少しずつ対策を取って行けたらと思います。

弊社には「情報処理安全確保支援士(略して:登録セキスペ)」が在籍しています。
『情報セキュリティー』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。

記事の著者:

Web制作ならアズシエルにご相談ください。

Web制作パートナーとしてサイトの企画からデザイン、運用まで支援します!Webサイト制作についてはこちらからサービスをご確認ください!

サイトの制作も運用も月額定額料金でプロにお任せできるサービスのバナー

この記事をSNSでシェアする!