経営的視点が欠かせないセキュリティ対策

セキュリティ対策で思い浮かぶのは、コンピュータウイルスのワクチンソフトを導入する、ファイアウォールを構築する、パスワードをかける等々でしょう。今までは何か問題があった時や、世間で話題になったタイミングで個別に実施してきたはずです。それも、コンピュータに詳しい人や若い人に任せきりだったかもしれません。
しかし、これからは企業という一つの組織体としてどのように取り組んでいくか、経営者の「姿勢」「方針」を明確に内外に示すことが重要です。
これは何らかの事故・事件があった時によくわかります。相次ぐ情報漏えいが報道されていますが、発覚後の経営者の対応によって信頼回復できるか、それともされに信用失墜となるかが分かれます。今年の事件で言えば、ジャパネットタカタ、ヤフーBBが典型例でしょう。
セキュリティは単に「技術」的問題ではなく、自然災害、盗難などと同様、危機対策であり、経営的課題として捉えなければなりません。ちなみにジャパネットたかたでは事件後、社長自ら情報セキュリティ最高責任者となり、安全で強固なセキュリティ環境実現を図る、としています(図1)。

図1 ジャパネットたかたのWebページ(4/9に発表・掲載されたお知らせ)から。
これもある意味で「情報セキュリティポリシー」と言える。

情報セキュリティポリシーを策定しよう

セキュリティに関するトップの宣言が「情報セキュリティポリシー」です。その組織のセキュリティ対策の「憲法的存在」となります。そこには、目的や企業としての取り組み方針などを記します。例えば「お客様情報を守ることを第一とし、そのために必要なセキュリティ対策を全社をあげて実施する」というようなことを、わかりやすい言葉で書きます。
ポイントは「何を守るか」「何を主眼に置くか」を明確にすることです。顧客情報や技術ノウハウの流出を防ぐ、もしくはウイルスメールなど取引先の迷惑になることをしない等々、自社にとって重要なことが何かを経営者自身が考え、結論を出します。
セキュリティポリシーでは、一般的に以下の表に示した内容を盛り込めばよいと言われていますが、記載の順番も含め、絶対的なものはなく、各組織で自由に構成できます。(図2)

(表)情報セキュリティポリシーに一般的に盛り込む内容

項目	内容
目的、(趣旨、背景)	情報セキュリティ対策を実施する目的や、その背景。なぜセキュリティ対策が重要かや、セキュリティポリシーを策定する目的など。
基本声明	組織トップからの宣言。もしくはポリシー本文の前後に「代表取締役　○○　○○」と入れることで、トップの言葉であることを明確にする。
適用範囲	セキュリティポリシーを適用する範囲。全社か、例えば顧客情報を扱う部署やシステムに限定するといったこと。
構成と位置づけ	セキュリティポリシーがセキュリティ対策の頂点にあり、すべての対策のよりどころとなること。そして、ポリシーの文書類が複数あれば、その文書名と関係を書く。多くは頂点に「基本方針」(狭義のセキュリティポリシー)、その下にもう少し具体的な「対策基準(スタンダード)」、さらにその下に「実施手順書(プロシージャ)」という三層構造をとる。
用語の定義	文中で使われる用語(セキュリティポリシー、ネットワーク等)の意味や示す範囲。
方針	セキュリティ対策の方針。何をどう守るかという内容。守るべきもの、それに対する脅威をあげ、その脅威にどのように立ち向かうかを具体的に記してもよい。
体制	セキュリティを推進する体制。だれが責任者で、どのような役割を持つ部署や担当を配置するかということ。小さい組織では社長が責任者で、特に新たな部署は作らずとも、全員が適宜担当となるはず。
責務	社長、役員、従業者の責任と義務。
罰則	ポリシーやそれに沿う規則に違反した場合は罰則を適用するという文面。罰則自体を詳しく書く必要はなく、「就業規則にしたがって懲戒を行う」という形でよい。しかし、セキュリティポリシーを強制力あるものにするため、必ず入れたい項目である。
関連法規等の遵守	関連する法規やすでにある社内規定に遵守するということ。
定期的な評価と 見直し	定期的にセキュリティポリシーの運用状況をチェックし、必要であれば修正等を行う旨を書く。

熊谷市情報セキュリティ基本方針

図2 熊谷市の情報セキュリティポリシー。「熊谷市情報セキュリティ基本方針」(pdf)を一部抜粋して掲載。

Ⅰ 熊谷市情報セキュリティポリシーの位置付け及び構成 『熊谷市情報セキュリティポリシー』は、本市が保有する情報資産の保護に必要となる情報セキュリティ対策を、具体的な記述も含めて体系化し取りまとめたものである。したがって、本市の情報セキュリティ対策の最上位に位置付け、情報セキュリティ基本方針、情報セキュリティ対策基準から構成するものとする。 　　　：　(中略)　： Ⅱ 情報セキュリティ基本方針 １ 目的 本市では、充実した住民サービスを提供するため、情報システムを活用し、行政運営に関わる住民情報等の重要な情報資産を取り扱っている。万が一、これらの情報が漏えいした場合、重大な問題へと発展することが予想される。したがって、住民の財産及びプライバシー等への被害を発生させないために、個人情報保護に主眼を置き、これらの情報資産を漏えいや、不正アクセス、過失等の脅威から保護することが求められる。 また、近年急速に進む情報化施策に対し本市が適切な対応を行うためには、保有する情報資産の保護を行い、安全性を確保することが必要不可欠となる。 これを受け、本市における情報セキュリティ対策を確立するために、熊谷市電子計算組織管理運営規則等の既存の規定に基づき、運用に適した情報セキュリティポリシーを策定するものとする。策定後は恒常的な情報セキュリティの維持を目的とした、Plan → Do → Check → Action のサイクルに基づく運用を行う。 　　　：　(中略)　： ３ 対象範囲 本情報セキュリティポリシーの対象範囲は、本市が保有するすべての情報資産とする。 ４ 対象者 本情報セキュリティポリシーの対象者は、全職員（嘱託職員・臨時職員等を含む）及び外部委託事業者とする。 ５ 情報セキュリティ管理体制 本市の保有する情報資産を保護するため、助役を中心とした情報セキュリティ管理体制を確立するものとする。 ６ 職員及び外部委託事業者の義務 本市が保有する情報資産を取り扱うすべての職員及び外部委託事業者は、業務遂行にあたり、情報セキュリティの重要性に対する統一された意識を持ち、情報セキュリティポリシーを十分に理解し、遵守する義務を負うものとする。 　　　：　(中略)　： １０ 情報セキュリティ対策 本市の保有する情報資産を「９ 情報資産への脅威」で述べた脅威から保護するために、以下の情報セキュリティ対策を実施するものとする。 １） 物理的セキュリティ対策 本市庁舎等の情報資産の置かれた施設への許可を得ない立ち入り等や、災害等による損傷から保護するための物理的対策を実施するものとする。 ２） 技術的セキュリティ対策 本市の保有する情報資産を不正アクセスやコンピュータウイルス等から保護するため、アクセスコントロール等の技術的な対策を実施するものとする。 ３） 人的セキュリティ対策 利用者による適切な情報セキュリティ対策の実行を促すため、情報セキュリティに関する権限や責任の範囲を明確化し、全職員に対する情報セキュリティポリシーの浸透を図る等の教育を行うものとする。 ４） 運用 情報セキュリティポリシーの実効性を確保し、情報システムの円滑な稼働を維持するため、情報セキュリティポリシーの遵守及び情報システムの監視を実施するものとする。 　　　：　(中略)　：

形式よりも実質的な周知徹底

しかし、「形」を整えることよりもずっと大切なのは、自社全体にセキュリティポリシーが周知徹底され、だれもがそれに基づいた行動を起こせるようになることです。社内に根付いてこそ、意義があります。
たくさんの会社や団体がWeb上で自社ポリシーを公開しているので、それを参考にするのはかまいませんが、あくまで自社の姿勢がよく見え、実行に移せることを第一義としてください。

「情報資産」という考え方

セキュリティポリシーは自社で扱う「情報資産」を守るための方針ともいえますが、情報資産とは一体どういうものでしょうか。 会計的な資産といえば、現金や固定資産(土地、建物、設備)などですが、情報資産とは、「情報」として価値あるもの、その情報を取り扱う設備などが含まれます。価値あるとは、

内容が漏れると支障があるという「機密性」
改ざんされたり、きちんと更新できていないと支障がある「完全性」
コンピュータやネットワークが止まって、使いたい時に使えないと困るという「可用性」
のどれか、もしくはすべてを有しているかということです。
例えば、購入したばかりのCD-Rは100円程度の価値しかありませんが、それに顧客情報などの重要情報が書き込まれた瞬間、その価値は一気に大きくなります。このように会計的な尺度で測れないもの多くが、情報資産となります。

ポリシー策定の効果

明文化することによって、意識も決意も新たになります。そして、全員への周知徹底を浸透していく過程で、セキュリティ意識の向上が期待できます。それがさらなるセキュリティ強化にもつながります。
Webサイト等への掲載によって、外部に公開すれば、企業の信用力を高めることもできるでしょう。ただし、公開することは、そこに書かれた内容がきちんと行われているという意味にもなりますから、そのタイミングには注意が必要です。

---

ポリシー策定は、企業としてのセキュリティへの取り組みの第一歩です。第一歩を踏み出すことで、次なる策が見えてきます。