＠IT：第4回　読者調査結果発表 Security&Trust

Security&Trust
第4回　読者調査結果発表
～情報セキュリティポリシーの策定状況は？～

小柴豊
＠IT　マーケティングサービス担当
2002/8/23

　不正侵入やサービス妨害、ワーム感染などのセキュリティ・インシデントが急増する中、対症療法的な対策を越えた『情報セキュリティ・ポリシー』（以下ポリシー）策定の必要性が唱えられている。さまざまなガイドラインや認証制度の確立など、ポリシー策定に向けた環境は整備されてきたが、実際の企業活動においてはどの程度浸透しているのだろうか？ Security&Trustフォーラムが実施した第4回読者調査の結果から、その状況を紹介しよう。

■読者勤務先のポリシー策定率：44％

　まずは読者勤務先でのポリシー策定実態を尋ねたところ、全体の33％が「全社的なポリシーを策定している」、同11％が「特定部門を対象としたポリシーを策定している」と答えており、現時点でのポリシー策定率は合計して44％となった（図1）。また現在は未着手の企業においても、その半数近くは「今後策定を予定／検討している」状況にあり、ポリシー策定が企業活動の“コモンセンス”となる日も、そう遠くはないように思われる。

図1 情報セキュリティポリシー策定状況（N=296）

■ポリシー策定理由：管理課題と被害経験がきっかけに

　ところで、企業はなぜポリシー策定を急ぐ必要があるのだろうか？ポリシーを策定済または予定・検討中の読者（206人）に、その策定理由を聞いた結果、約半数が「情報システム部門で管理上必要となったため」および「ウイルス感染や不正侵入などの被害を受けて」を挙げている（図2）。ここ数年のセキュリティ・インシデント増加に伴い、企業の情報システム管理部門はウイルスや不正侵入対策に追われてきた。1ユーザーの無自覚な行動によって膨大なリカバリー作業を強いられる管理者からすれば、ポリシー策定はプロアクティブなセキュリティ管理の第一歩として必須のプロセスといえるのだろう。

図2 情報セキュリティポリシー策定理由（N=206）

■ポリシー策定時に役立つガイドライン／資料とは

　さて実際にポリシーを策定する際、いきなりゼロから書き起こせるような人はまずいないだろう。そこでポリシー策定時に読者が参考にする外部情報源を尋ねたところ、内閣情報セキュリティ対策推進室が公表している「情報セキュリティポリシーに関するガイドライン」がトップに挙げられた（図3）。これはもともと各省庁用に作られたガイドラインだが、ポリシー策定手続きの流れなどがコンパクトにまとめられており、一般企業でも入門資料的に利用できるものだ。

　またBS7799をはじめとする標準ガイドライン以上に、「先行他社の事例」が参照されているのも興味深い。ポリシー策定の第一歩となる“情報資産価値の洗い出し”段階では、当該組織の業務内容などによってその評価方法も大きく異なってくるだけに、抽象化された標準以上に具体的な事例の内容が参考になるのだろう。

図3 ポリシー策定時の参考ガイドライン／資料（n=206）

■セキュリティポリシーと認証取得意向

　最近ではポリシー策定と関連して、セキュリティの管理体制を第三者が評価する「BS7799」や「ISMS」などの認証制度が話題になっている。こうした認証について、読者の取得意向を聞いた結果が、図4だ。図1と並べてみると、ポリシー策定の浸透度に比べて認証取得意向はさほど高くないようだ。また「ポリシーは策定するが、認証取得には関心がない」との回答も20％となった。先述したとおり、現在のポリシー構築要因はセキュリティ被害や管理課題の克服が主であるため、企業として認証を取得する必然性が薄いとも考えられる。認証制度が本格的に機能するには、商取引の前提条件として認証取得が求められるような、社会環境の変化が必要なのかもしれない。

図4 セキュリティ管理体制の認証取得意向（n=206）

■ポリシー実践のためのスタンダードとは

　ポリシーの構成は、大まかに経営者の宣言文である「基本ポリシー」と、実践にあたってそれを具体化した「スタンダード（基準群）」および「プロシージャ（手順書群）」に分かれる。そこでポリシーの実践内容を規定する「スタンダード」について、読者勤務先で現在どのような基準が立てられているのか聞いたところ、もっとも多かったのは「ウイルス対策」に関するものだった（図5）。以下「機密情報の取り扱い基準」「電子メール利用基準」と続いており、これが現時点での情報セキュリティのプライオリティを表わしているともいえそうだ。

　当フォーラムでは、今後こうした情報セキュリティポリシー関連の情報提供を進めて行く予定だが、すでにポリシー策定に迫られている方には、本文末の「関連記事&リンク」を参考にしてみてほしい。

図5 セキュリティポリシー実践時に作成する基準（n=206）

■調査概要

調査方法：Security & Trust サイトからリンクした Webアンケート
調査期間：2002年6月17日～7月19日
回答数：296件

関連記事＆リンク

【連載】実践！情報セキュリティポリシー運用

【連載】情報セキュリティマネジメントシステム基礎講座

【特別企画】開発者が押さえておくべきセキュリティ標準規格動向

【書評】セキュリティポリシー策定に役立つ4冊！

【Security&Trustウォッチ】費用対効果を認識したといえるISMS認証取得

【Security&Trustウォッチ】セキュリティ対策よりも認定取得が目的に？

Security&Trust記事一覧

Security&Trust フォーラム新着記事

Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ （2017/7/24）
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。
WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に （2017/7/11）
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。
Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは （2017/7/10）
　代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する
侵入されることを前提に考える――内部対策はログ管理から （2017/7/5）
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃（APT：Advanced Persistent Threat）対策の観点から考える。

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

注目のテーマ

Security & Trust 記事ランキング

本日月間