なぜ、「セキュリティポリシー」が必要なの?――自社のセキュリティポリシーを一度も読んだことがない方へ:セキュリティ、いまさら聞いてもいいですか?(6)(1/4 ページ)
セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第6回のテーマは、「セキュリティポリシー」です。「人的要因」によるセキュリティ事故を防ぐためのポリシーの策定・運用・変更のポイントについて解説します。
「セキュリティポリシー」、読んだことありますか?
前回、パスワード漏えいについて学びましたが、実際に自分のパスワードをどう運用すればよいのか迷っています。何か基準になるようなものはないでしょうか?
会社などの組織では、「セキュリティポリシー」があるはずです。まずはそれを読んでみましょう。
多くの企業では「セキュリティポリシー」が定められています。経済産業省と情報処理推進機構(IPA)が策定した「サイバーセキュリティ経営ガイドライン」においても、経営者がセキュリティポリシーを策定し、組織の全ての構成員に周知することが求められています。
しかし残念ながら、セキュリティポリシーをせっかく定めても、一度も読んだことがない従業員は少なくありません。「書いてある内容が難しい」というのがその主な理由ですが、ぜひ、ざっとでもよいので、一度は目を通してみることをお勧めします。
早速、会社のWebサイトで公開されていた「セキュリティポリシー」を読んでみました。漠然とした内容で具体的に何をすればよいのか、よく分かりませんでした。
公開されているセキュリティポリシーとは別に、内部向けの「対策基準」や「実施手順」があるはずです。
企業のWebサイトで公開されているセキュリティポリシーを見たとき、「当たり前のことが書いてあるだけ」という印象を持つ人も多いかもしれません。実際、公開されているセキュリティポリシーはどの組織でも、おおむね以下のような内容になっているはずです。
しかし、多くの会社が外部に公開しているのはセキュリティポリシーの中でも「基本方針」と呼ばれる部分だけです。多くの場合、セキュリティポリシーは「基本方針」「対策基準」「実施手順」で構成されています。
基本方針は多くの会社で似ているため、それだけを見ても具体的なセキュリティ運用のイメージは持てないでしょう。具体的な運用知るには、まずは「対策基準」を見てみてください。そこには多くの場合、「パスワードの文字数は何文字以上にするか」といった具体的な方針が書かれているはずです。
また「実施手順」には、さらに具体的な対策の手順が記載されています。これらの詳細なセキュリティポリシーは、公開することでセキュリティ上の問題が起きる可能性あがるため、一般に社外には公開されていないのです。
Quiz:なぜ、セキュリティポリシーの制定が必要なのでしょうか?
次ページからは、セキュリティポリシーの必要性について解説します。
Copyright © ITmedia, Inc. All Rights Reserved.