最近では情報セキュリティポリシーの運用方法が適切に守られていないことが原因で、様々な情報漏洩が起きています。
例えば神奈川県庁の行政情報が記録されていたハードディスクが流出し、オークションサイトで販売されたという事例がありました。
この事例ではハードディスクのデータ消去を請け負っていた会社の情報セキュリティ遵守が守られていません。
本来ならハードディスクを物理的に破壊してその写真などの記録を残し、神奈川県庁に渡すことを義務付けるなどで防止できたのです。
このように情報セキュリティポリシーが適切に運用されていないと一大事になることがあります。
場合によっては株価の急落や上場廃止、倒産にまで追い詰められる企業も実際にあるようです。
この記事では情報セキュリティポリシーの適切な運用方法やセキュリティ対策などをご紹介いたします。
情報資産を「何から」守るのか
まずは何から情報資産を守れば良いのか、情報セキュリティポリシーの脅威は何なのか。またその代表的な解決策をみてみましょう。
内部の人間による情報資産の窃盗・改ざん
情報を扱う組織の人間が情報セキュリティポリシーを適切に守らなければ、簡単に情報漏洩や紛失が起きてしまいます。
情報セキュリティポリシー遵守状態の可視化・監視を行い、適切に守っていない者へのペナルティなども考慮する必要があるでしょう。
自然災害等による情報資産の紛失
最近は台風や大雨、地震など自然災害が多く発生しており、家屋などに壊滅的な被害が及ぶこともあります。
このような自然災害は「必ず起きる脅威」として対策を講じなければなりません。
情報資産はクラウド上にバックアップを取っておくと、使用端末が災害で使用不可能な状態でも違う端末でファイル閲覧等が可能です。
悪意ある外部の者による情報資産の窃盗・改ざん
外部からの情報資産の窃盗や改ざんを防ぐ対策も必要です。これらの大半はインターネット経由で行われています。
フィッシングの多様化・高度化が問題視されている為、これらの脅威に対し常に最新の対策を実施しなくてはいけません。
情報セキュリティ対策はどのように行うか
組織内には情報セキュリティポリシーの保全担当部署や担当者が必ずいるかと思います。
しかしこの担当者だけが頑張っても他の社員の意識が低ければ、企業全体の情報セキュリティは守られるはずがありません。
一社員が企業の情報セキュリティを崩壊させる例
例えばPCで使用するUSBメモリは、ウイルスの感染や拡大を防ぐ為に社内専用のものを使用し、持ち出し禁止にしている企業もあります。
しかしUSBメモリの取扱いに関する注意喚起を全職員に行っていても、社員の一人がUSBを自宅から持参してしまったらどうでしょうか。
そのUSBメモリがウイルスに感染していたとしたら、あっと言う間に感染が広まってしまうのです。
その結果、組織の情報資産が流失したり改ざんされたりと多大な被害を被ることにも繋がりかねません。
情報セキュリティポリシーは企業全体で取り組む
このように情報セキュリティポリシーはその企業の誰かが知っていれば良いというものではありません。
企業全体で取り組まなければならないものです。
その為情報セキュリティポリシーの担当者は、社員一人一人のセキュリティに対する意識を上げていく必要があります。
例えば研修会を開催したり資料を配布したりするのもその対策の一つです。
非常に重要なデータを扱うPCはオンラインで使用しないのも一つの手
組織内で取り扱っているデータの中でも「これだけは絶対流出させない」という情報資産があるのではないでしょうか。
情報資産の取扱い専用にネット回線もLANも繋がないPCを用意できれば、万一社内のPCがウイルスに感染してもデータの保全ができます。
情報セキュリティポリシーの作成方法
情報セキュリティポリシーは全ての企業に当てはまるような統一されたものはありません。
組織の規模や体制、保有する情報の種類などに応じて適切な対策基準を作成する必要があります。
項目などは自由に設定できますが、次の順で作成していくと行うべきことが浮き彫りになって分かりやすいでしょう。
情報セキュリティポリシー作成ワーキンググループ(WG)を立ち上げる
まずは自社の情報セキュリティポリシーの最適な形はどういうものなのかを探る必要があります。
しかし全社員からの意見を集約しようとすると膨大な時間と手間がかかるでしょう。
その為、全員で10人程度のWGを立ち上げてそこで叩き台を作成し、上役に承認を得るという形の方がスムーズに事が運びやすいです。
基本理念・方針を作成する
情報セキュリティポリシーに関して一企業としてどのような理念や方針を持って事業に取り組むか、一般的な考え方を最初に作成します。
- 「情報セキュリティポリシーを定めないとどのような不利益を被るか」
- 「それを防止する為の考え方とは何か」
など規程の導入部分となり、詳細の方向性を決定づける文章です。
対策に関するガイドラインを作成する
次に基本理念・方針を基に実際に保護をする情報別にガイドラインを作成しましょう。
「セキュリティ監査に関するガイドライン」「クラウドサービス安全使用に関するガイドライン」等がこれにあたります。
実施手順書を作成する
最後にガイドラインに則って情報セキュリティポリシーを実施する為の手順を記します。
実施手順書は各業務に対しての手順・注意点・備考など具体的な実施の仕方を明文化することが目的です。
例えば「パスワード施錠されている部屋に入室する際のパスワード変更方法」「PCにセキュリティソフトを導入する際の手順」等が挙げられます。
情報セキュリティポリシーの運用方法
先にもお伝えした通り、情報セキュリティポリシーは担当者一人が運用するものではなく、職員全員に周知して実施すべきものです。
その為、運用方法に関しても全部署全社員が確認・遵守できるものでなくてはいけません。
規程文書は全部署に配布し、全職員が閲覧できる状態にする
運用方法を記載した規程などの文書・マニュアルは基本的に全部署に配布することが望ましいでしょう。
また各部署の保管場所に関しても、社員なら誰でも手に取れる場所に設定し周知徹底することが重要です。
PDCAサイクルで定期的に見直しと改訂を
情報セキュリティポリシーは一度作成したら終わりではなく、社内の状況に合っているか対策基準などを見直しをする必要があります。
また現状にそぐわなければ改訂しなければなりません。
PDCAサイクル(Plan:計画、Do:実施、Check:監査・評価、Act:改善)を定期的に行う必要があります。
その時々の状況に合うような文書に変えていくことで、情報セキュリティポリシーの穴を塞いでいくのです。
改訂があった場合は必ず全職員が目を通し、サインなどの記録を残す
情報セキュリティポリシーを改訂した場合は、必ず全職員が目を通すことができるように改訂部分の回覧を行います。
メールの一斉送信という方法も可能ですが、人によっては受信メールが大量にあって目に留まらないことも多いです。
敢えて紙ベースで部署単位の回覧を行いサインする方法が良いでしょう。
全員のサインが集まったら部署長から担当者へ渡し、担当者が情報資産と共に一括保管するという方法が管理しやすいです。
また改訂部分に下線を引いた新旧対照表を別途配布するとどこがどのように変わったのかが一目瞭然なのでおすすめでしょう。
(次回改訂の際には前回の下線を消し、新たな改訂場所に下線を引きます)
情報セキュリティ教育
先にも述べた通り、情報セキュリティポリシーに則って行動するのは組織内全ての人です。
誰か一人でもその意識が欠けていると、そこから組織内の情報資産の漏洩などが広まってしまいます。
その為情報セキュリティに関する教育をしっかりと行い周知徹底しなければなりません。
また規程やマニュアル類があっても、それをただ配布するだけでは恐らく誰も読まないですし浸透しないでしょう。
そこで先に述べた情報セキュリティWGが部署ラウンドを行います。
方法としては、ランダムに一人抽出して情報セキュリティに関する5問程度のテストを口頭形式で実施するのはどうでしょうか。
テストは規程文書の中から作成することとして、テストの結果を1部コピーして部署長に渡し、原本はWGが保管します。
テストで間違った箇所は部署長に指導を依頼し、WG内でもその結果を共有し合う。
そして期間を少し空けて同じ方に同じテストを行います。
指導箇所が正しくインプットされているかを確認すると、情報セキュリティポリシーの浸透具合を監査し改善することができます。
通常の業務以外でこのような活動を行うのは大変ですが、情報資産を失ってからでは遅いのです。
終わりに
今回は情報セキュリティポリシーの運用方法とセキュリティ対策、規程の作り方などをご紹介しました。
一昔前は組織が持つ資産といえば金融と不動産の2つが大半を占めていました。
しかし最近はIT化が進み「情報資産」という言葉も生まれてくるまでに変わってきています。
情報セキュリティに穴があるとすぐにつけ込まれるでしょう。
最新の脅威や相手の手口を知り、対策をどんどん進化させていかないと情報資産を守り切ることは難しい時代になってきているのです。
