情報セキュリティの重要性がますます高まる現代において、組織の情報資産を守るためのセキュリティポリシーの策定は不可欠です。セキュリティポリシーは全従業員が従うべき指針となり、情報漏洩やサイバー攻撃から組織を守るための重要なツールです。
本記事では、セキュリティポリシーの策定担当、社内情シス担当、そしてセキュリティ対策に関心のある方を対象に、情報セキュリティポリシーの策定ステップと運用方法を詳しく解説します。

情報セキュリティポリシーとは？

情報セキュリティポリシーは企業や組織の情報セキュリティ対策の方針や行動指針を定めたものです。
内容としては、情報の機密性・完全性・可用性を確保することを目的に、情報資産をどのように保護するか、運用規定や対策基準などを記載します。ある程度、記載すべき内容は決まっていますが、組織の規模や情報資産に応じて内容を変える必要があります。

情報セキュリティとは

情報セキュリティは、情報の機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）の3要素からなると言われており、頭文字を取ってCIAと略されます。

• 機密性（Confidentiality）：情報が許可されたユーザーだけにアクセスされることを指します。機密データが不正アクセスによって漏洩することを防ぐための暗号化技術やアクセス制御などにより確保します。
• 完全性（Integrity）：情報が正確であり、改ざんされていないことを指します。データの整合性を維持し、改ざんや誤った変更から保護するための措置により確保します。
• 可用性（Availability）：情報が必要なときに利用可能な状態であることを指します。システムのダウンタイムを最小限に抑えるためのバックアップや災害復旧計画などにより確保します。

情報セキュリティポリシーの必要性・メリット

情報セキュリティポリシーの必要性や策定するメリットを紹介します。

組織全体のセキュリティ強化

セキュリティ対策の徹底を社内で周知しても各々の解釈が違ったり、実際に行う対策の程度が違ったりするはずです。
こうした基準の違いを防ぐために、情報セキュリティポリシーとして組織全体で体系的に定めることが重要です。情報セキュリティポリシーを定めれば、全ての従業員が統一された基準に基づいて行動でき、情報資産を守ることができます。

コンプライアンス遵守とリスク管理

多くの業界では、情報セキュリティに関する法令や規制が厳格に定められており、これらを遵守することが求められます。情報セキュリティポリシーを導入することで、法令違反による罰則を避け、顧客や取引先からの信頼を維持することができます。
また、情報セキュリティポリシーに基づくリスク管理は、情報漏洩やサイバー攻撃といった脅威への対策としても有効です。

情報セキュリティポリシーの基本構成

ここからは具体的に情報セキュリティポリシーの内容を解説します。

具体的なセキュリティ対策とプロセス

情報セキュリティポリシーは「基本方針」「対策基準」「実施手順」の3つの階層で構成されることが一般的です。それぞれの階層について詳しく説明します。

基本方針

組織が目指すべきセキュリティの目標や価値観を反映したもので、すべてのセキュリティ対策の土台のような位置づけです。
「情報資産を守るための基本的な考え方」「全従業員のセキュリティ意識を高めるための教育やトレーニングの重要性」「法律や規制を遵守することの重要性を示す」を要素として含めましょう。

対策基準

基本方針に基づいて具体的に実施すべきセキュリティ対策の基準を定めるものです。
例えばアクセス制御の基準やデータ保護の方法、ネットワークセキュリティ、物理的なセキュリティなどを明記します。

実施手順

前述の基準を遵守するための具体的な実施手順をまとめます。誰が見ても理解できるよう、分かりやすくかつ可能な範囲で詳しく記載することが重要です。

目的と範囲の定義

情報セキュリティポリシーには目的と範囲も記載する必要があります。
情報セキュリティポリシーの目的では組織の情報資産を保護するための基本的な方向性を示します。一般的には「機密性」「完全性」「可用性」の維持を目的としていることが多いです。そして範囲として、全従業員や取引先、顧客情報、全てのネットワークデバイスやシステムなど、情報セキュリティポリシーの影響を受ける対象を具体的に示しましょう。

役割と責任の明確化

セキュリティインシデントが発生した場合を考慮して、誰が何をするべきかを明確にして情報セキュリティポリシーとして明文化しましょう。
また、全従業員が自分の役割と責任を理解し、日常業務の中でセキュリティ対策を実践することで組織全体のセキュリティ意識も向上します。

情報セキュリティポリシー策定のステップ

情報セキュリティポリシーを策定する際は以下の5つのステップで進めていきます。

1. 目的・体制の決定
2. 策定スケジュールの決定
3. 基本方針の策定
4. 情報資産の洗い出し、リスク分析とその対策
5. 対策基準と実施内容の策定

目的・体制の決定

まず最初に行うべきは、情報セキュリティポリシーの目的、情報資産の対象範囲、適用期間、そして各役割の分担を決定することです。
目的で組織全体の指針を明示したうえで情報資産の対象範囲を明確に定義します。そして、定期的な見直しや更新時期を定めるためにも適用期間を決めます。役割分担では情報セキュリティ責任者、IT担当者、従業員など、各自の責任と役割を明確にし具体的な業務を定めます。

策定スケジュールの決定

情報セキュリティポリシー策定のためのスケジュールを決定します。具体的には、情報セキュリティポリシー策定の各ステップの開始日と終了日、各ステップにかかる期間、そしてマイルストーンを設定します。
よくある失敗として、無理なスケジュールを組んでしまい、計画通りに進行することが目的となり、本質的な議論をしないまま進んでしまうことがあります。あくまでスケジュールは目安として、意味のある情報セキュリティポリシーを策定できるよう意識することが大切です。

基本方針の策定

情報セキュリティポリシー全体の方向性を決定するための基盤となる基本方針を策定します。ここには、情報の機密性や完全性、可用性を確保するための基本的な考え方や、従業員のセキュリティ意識向上などが含まれます。

情報資産の洗い出し、リスク分析とその対策

組織内のすべての情報資産を洗い出しましょう。データベースやネットワーク、ハードウェア、ソフトウェアなど組織の運営に必要な全ての情報資産が対象です。

情報資産を洗い出したうえでこれらに対するリスクを分析します。どこに情報漏洩のリスクがあるか、サイバー攻撃される可能性があるかなどそれぞれのリスクの発生確率と影響度を明らかにします。

対策基準と実施内容の策定

リスク分析に基づいて対策基準と実施内容を策定します。対策基準では具体的なセキュリティ対策の基準を明確にし、例えば、どのデータを暗号化するか、どのシステムにどのセキュリティパッチを適用するかなどを定めます。

実施内容では、これらの対策をどのように実行するかを可能な限り詳しく記載しましょう。

情報セキュリティポリシー策定のポイント

情報セキュリティポリシーを策定するポイントは4つです。

1. 関係者とのコミュニケーションとフィードバック
2. 適用範囲と明確さ
3. 定期的な見直しと更新ができる仕組み
4. 従業員への浸透

関係者とのコミュニケーションとフィードバック

情報セキュリティポリシーは組織全体に影響を与えるため、実際の業務に即した現実的で意味のあるものにするためにも、各部門や現場スタッフの意見を取り入れることが不可欠です。

適用範囲と明確さ

情報セキュリティポリシーが適用される対象（例：従業員、契約社員、第三者ベンダー）や、保護すべき情報資産（例：デジタルデータ、紙媒体の文書、システム）を具体的に示す必要があります。
適用範囲が不明確だと従業員がどのように行動すべきかが分からず、形だけの情報セキュリティポリシーとなってしまいます。

定期的な見直しと更新ができる仕組み

情報セキュリティは常に変化する脅威に対処する必要があるため、情報セキュリティポリシーも定期的に見直し、更新することが重要です。
これを実現するためには、見直しと更新の仕組みを組み込むことが必要です。例えば、毎年または半期ごとにレビューを行うことを定め、その結果に基づいて必要な変更を加えることが有効です。

従業員への浸透

情報セキュリティポリシーは策定するだけでなく、従業員にしっかりと浸透させることが重要です。
情報セキュリティポリシーがどれだけ優れていても、従業員がそれを理解し、実践しなければ効果は得られません。定期的なトレーニングや教育プログラムを実施して従業員に浸透するよう働きかけましょう。

情報セキュリティポリシー運用方法

情報セキュリティポリシーは策定して終わりではなく、PDCAを回しながら運用していくことが重要です。

定期的な監査と評価

情報セキュリティポリシーを策定した後は、適切に実施されているかを確認する監査を実施しましょう。監査結果に基づいて改善点を特定し、結果によっては情報セキュリティポリシーを見直す必要もあります。
また、監査で情報セキュリティポリシー違反が見つかった場合は是正し、改善が成されているか時間を空けて再調査する制度も設けましょう。

違反時の対応策（インシデントレスポンスプラン）

違反が発生した場合の対応策としてインシデントレスポンスプランが必要です。インシデントを早期に検知し、適切な担当者に報告する手順を決めておきましょう。
この他にも、初期対応や調査手順、復旧と修復対応などもまとめておくと効果的です。
こうしたインシデントレスポンスプランを整備し定期的に訓練を行うことで、違反時の被害を最小限に抑えられます。

情報セキュリティポリシーの例文・サンプル

実際に公開されている情報セキュリティポリシーを紹介します。自社の情報セキュリティポリシー策定の参考にしてください。

日本ネットワークセキュリティ協会

日本ネットワークセキュリティ協会（JNSA）が公開している情報セキュリティポリシーです。
スマートデバイスやクラウド、SNSなどの新しい技術やサービスも考慮した情報セキュリティポリシーとなっています。

独立行政法人情報処理推進機構

独立行政法人情報処理推進機構(IPA)の「中小企業の情報セキュリティ対策ガイドライン」です。
中小企業向けに情報セキュリティ対策の具体的な手順を示したガイドラインです。すぐに使える「情報セキュリティ基本方針」や「情報セキュリティ関連規程」の雛形もダウンロードできます。

まとめ

この記事で紹介したポイントを参考に自社の情報セキュリティポリシーを策定し、PDCAを回しながら運用していきましょう。

セキュリティ大全資料には情報セキュリティポリシー策定のポイントを含め、情シス担当者が対応すべきセキュリティ対策が詳しく記載されています。
組織のセキュリティ強化に役立つ豊富な情報を活用し、効果的なセキュリティ対策を実現しましょう。