最近では情報セキュリティポリシーの運用方法が適切に守られていないことが原因で、様々な情報漏洩が起きています。
例えば神奈川県庁の行政情報が記録されていたハードディスクが流出し、オークションサイトで販売されたという事例がありました。
この事例ではハードディスクのデータ消去を請け負っていた会社の情報セキュリティ遵守が守られていません。
本来ならハードディスクを物理的に破壊してその写真などの記録を残し、神奈川県庁に渡すことを義務付けるなどで防止できたのです。
このように情報セキュリティポリシーが適切に運用されていないと一大事になることがあります。
場合によっては株価の急落や上場廃止、倒産にまで追い詰められる企業も実際にあるようです。
この記事では情報セキュリティポリシーの適切な運用方法やセキュリティ対策などをご紹介いたします。
情報資産を「何から」守るのか
まずは何から情報資産を守れば良いのか、情報セキュリティポリシーの脅威は何なのか。またその代表的な解決策をみてみましょう。
内部の人間による情報資産の窃盗・改ざん
情報を扱う組織の人間が情報セキュリティポリシーを適切に守らなければ、簡単に情報漏洩や紛失が起きてしまいます。
情報セキュリティポリシー遵守状態の可視化・監視を行い、適切に守っていない者へのペナルティなども考慮する必要があるでしょう。
自然災害等による情報資産の紛失
最近は台風や大雨、地震など自然災害が多く発生しており、家屋などに壊滅的な被害が及ぶこともあります。
このような自然災害は「必ず起きる脅威」として対策を講じなければなりません。
情報資産はクラウド上にバックアップを取っておくと、使用端末が災害で使用不可能な状態でも違う端末でファイル閲覧等が可能です。
悪意ある外部の者による情報資産の窃盗・改ざん
外部からの情報資産の窃盗や改ざんを防ぐ対策も必要です。これらの大半はインターネット経由で行われています。
フィッシングの多様化・高度化が問題視されている為、これらの脅威に対し常に最新の対策を実施しなくてはいけません。
情報セキュリティ対策はどのように行うか
組織内には情報セキュリティポリシーの保全担当部署や担当者が必ずいるかと思います。
しかしこの担当者だけが頑張っても他の社員の意識が低ければ、企業全体の情報セキュリティは守られるはずがありません。
一社員が企業の情報セキュリティを崩壊させる例
例えばPCで使用するUSBメモリは、ウイルスの感染や拡大を防ぐ為に社内専用のものを使用し、持ち出し禁止にしている企業もあります。
しかしUSBメモリの取扱いに関する注意喚起を全職員に行っていても、社員の一人がUSBを自宅から持参してしまったらどうでしょうか。
そのUSBメモリがウイルスに感染していたとしたら、あっと言う間に感染が広まってしまうのです。
その結果、組織の情報資産が流失したり改ざんされたりと多大な被害を被ることにも繋がりかねません。
情報セキュリティポリシーは企業全体で取り組む
このように情報セキュリティポリシーはその企業の誰かが知っていれば良いというものではありません。
企業全体で取り組まなければならないものです。
その為情報セキュリティポリシーの担当者は、社員一人一人のセキュリティに対する意識を上げていく必要があります。
例えば研修会を開催したり資料を配布したりするのもその対策の一つです。
非常に重要なデータを扱うPCはオンラインで使用しないのも一つの手
組織内で取り扱っているデータの中でも「これだけは絶対流出させない」という情報資産があるのではないでしょうか。
情報資産の取扱い専用にネット回線もLANも繋がないPCを用意できれば、万一社内のPCがウイルスに感染してもデータの保全ができます。
情報セキュリティポリシーの作成方法
情報セキュリティポリシーは全ての企業に当てはまるような統一されたものはありません。
組織の規模や体制、保有する情報の種類などに応じて適切な対策基準を作成する必要があります。
項目などは自由に設定できますが、次の順で作成していくと行うべきことが浮き彫りになって分かりやすいでしょう。
情報セキュリティポリシー作成ワーキンググループ(WG)を立ち上げる
まずは自社の情報セキュリティポリシーの最適な形はどういうものなのかを探る必要があります。
しかし全社員からの意見を集約しようとすると膨大な時間と手間がかかるでしょう。
その為、全員で10人程度のWGを立ち上げてそこで叩き台を作成し、上役に承認を得るという形の方がスムーズに事が運びやすいです。
基本理念・方針を作成する
情報セキュリティポリシーに関して一企業としてどのような理念や方針を持って事業に取り組むか、一般的な考え方を最初に作成します。
- 「情報セキュリティポリシーを定めないとどのような不利益を被るか」
- 「それを防止する為の考え方とは何か」
など規程の導入部分となり、詳細の方向性を決定づける文章です。
対策に関するガイドラインを作成する
次に基本理念・方針を基に実際に保護をする情報別にガイドラインを作成しましょう。
「セキュリティ監査に関するガイドライン」「クラウドサービス安全使用に関するガイドライン」等がこれにあたります。
実施手順書を作成する
最後にガイドラインに則って情報セキュリティポリシーを実施する為の手順を記します。
実施手順書は各業務に対しての手順・注意点・備考など具体的な実施の仕方を明文化することが目的です。
- 1
- 2