そもそも、セキュリティポリシーって必要なのでしょうか? セキュリティ専門家が安全なシステムをはじめから準備してくれればいいのではないですか?
技術的な対策には限界があるのです。技術ではなく“人”が原因になる問題を解決するためには、ルールがどうしても必要です。
情報セキュリティを考えるとき、技術的な話に偏ってしまうことがよくありますが、現実にはコンピュータを使う「人」の行動について考えることが欠かせません。実際、情報漏えい事件の約8割が「誤操作」や「管理ミス」「紛失・置き忘れ」といった人的要因によって発生しているのは有名な話です(参考リンク)。
セキュリティポリシーというルールを定めることは、技術面だけでなく人や組織が情報セキュリティにどのように取り組めばよいのかを示す指針となるのです。そしてこのセキュリティポリシーを定着させるためには、「教育」が不可欠です。従業員への教育が不足していれば、どれだけ技術面を強化しても、無駄になってしまう可能性があります。
各企業が自分たちでセキュリティポリシーを策定する必要はあるのですか? 国などが力を合わせて決めた方が、企業の負担も少なく、良いポリシーができるのではないですか?
情報セキュリティは、組織の管理体制や守るべき情報の性質などに合わせて柔軟に変化すべきものです。従って、組織に合ったセキュリティポリシーを各組織が策定する必要があります。
セキュリティポリシーの「基本方針」だけを読むと多くの企業で内容が似ていますが、情報セキュリティは全ての企業で同じというわけにはいきません。従業員の数や管理体制は異なりますし、業種によって保持している情報も全く違います。また、使用しているシステムやネットワーク構成も異なりますから、同じポリシーを適用することはできません。
特に、「対策基準」や「実施手順」は、組織に合わせて定めることが重要です。標準的なガイドラインなどは提示されていますから、それを基に、各組織に合わせたポリシーの追加/削除を行っていくのです。
また、上場企業にとっては事実上、セキュリティポリシーの策定が義務付けられています。また、非上場企業であっても、自社の情報セキュリティの信頼性を外部に証明するために、セキュリティポリシーの策定はもはや必須だといえるでしょう。
次ページからは、セキュリティポリシー運用のポイントを紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.