なぜ、「セキュリティポリシー」が必要なの?――自社のセキュリティポリシーを一度も読んだことがない方へ:セキュリティ、いまさら聞いてもいいですか?(6)(4/4 ページ)
セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第6回のテーマは、「セキュリティポリシー」です。「人的要因」によるセキュリティ事故を防ぐためのポリシーの策定・運用・変更のポイントについて解説します。
セキュリティポリシー見直しのポイント
セキュリティポリシーはどんなときに変更すべきなのでしょう。
先ほど述べたように運用に無理が生じているときや、組織体制やシステム構成の変更時などに、セキュリティポリシーの見直しを行います。また、攻撃側の手法も次々と変化していますから、そうした変化に合わせて適宜見直しを行うことも必要です。
総務省の「地方自治情報管理概要〜電子自治体の推進状況(平成26年4月1日現在)〜」によれば、ほとんど全ての自治体がセキュリティポリシーを策定します(下図)。
ところが、特に市区町村では「策定後一度も見直しを行っていない」という回答が40%を超えています。企業でも、同じような状況が起きている可能性がないとは言い切れません。
自治体などに比べて環境や体制の変化が大きい企業では、セキュリティポリシーを定期的に見直すことが、さらに重要になります。経営陣が率先的に関与して見直しを行うことも重要ですが、実務を行う担当者も積極的に見直しメンバーの中に入り、現実的な運用に合ったセキュリティポリシーが策定されるように支援しましょう。
セキュリティポリシーが変わってしまうと、また学び直しが必要になるのですよね……。
世の中自体が急速に変化していますから、組織も人も変わることは避けられません。「教育者は定期的に教育を実施し、社員は学び続ける」、難しいことですが、これが当たり前の姿にならなければいけません。
情報セキュリティに限らず、ITは日進月歩の世界です。1度学べば終わり、ということは決してありません。ITに詳しくない従業員も含めて、定期的な研修を行うなど、学びを継続できる仕組みを工夫しましょう。その際にセキュリティポリシーを教材の1つとして活用するのもよいでしょう。
第6回のまとめ
- 組織のセキュリティ運用の基準となるのは「セキュリティポリシー」である
- セキュリティポリシーは「基本方針」「対策基準」「実施手順」からなり、より具体的な「対策基準」「実施手順」は公開されていないことが多い
- セキュリティ事故の原因の大半を占める「人的要因」を取り除くために、セキュリティポリシーの策定と運用が欠かせない
- セキュリティポリシーは、内部/外部の環境変化に合わせて柔軟に見直しを行っていくべきものである
増井敏克(ますい としかつ)(増井技術士事務所代表)
技術士(情報工学部門)、テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。
ITエンジニアのための実務スキル評価サービス「CodeIQ」にて、情報セキュリティやアルゴリズムに関する問題を多数出題している。
また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとして活動。「ビジネス」「数学」「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウエアの開発を行っている。
近著に「おうちで学べるセキュリティのきほん」(翔泳社、2015)、「プログラマ脳を鍛える数学パズル シンプルで高速なコードが書けるようになる70問」(翔泳社、2015)がある。
Copyright © ITmedia, Inc. All Rights Reserved.