見出し画像
Photo by inagakijunya

情報セキュリティ-組織対策編

m.shimoyama

前回までにセキュリティ対策とは何か、どの様なことが法律で規制され、どの様なことが守られているのかをお話しました。本投稿では、組織のセキュリティ対策として実践すべきことを、体制と文書の2つの視点から紹介します。

体制

個人情報や機密情報を扱う企業は情報セキュリティ体制を整えることは必須といえるでしょう。この体制の最上位に情報セキュリティ委員会を設け全社横断で情報セキュリティの方針、対策、指示命令を発する活動を行います。

情報セキュリティ委員会の責任者は経営責任者、CIO(最高情報責任者)、CISO(Chief  information Security Officer)等を任命することが多いようです。この責任者は会社の経営理念を理解し、セキュリティに関して責任が持てる人が就くことが必要です。ITに関する知識、セキュリティ、会社経営等の知識と経験を幅広く有している人が適任で、どれか一つ秀でているだけではこの立場を全うすることは難しいです。

情報セキュリティ対策は個別の支店や部署、プロジェクト毎に講じるものでは無く、全社横断で意思決定し、それに部署やプロジェクトが従う活動です。支店や部署、プロジェクト毎に対策が異なる場合、その隙間を悪意のある不正アクセスに狙われます。

情報セキュリティ委員会は責任者を中心として、その他のメンバーによる作業部会で構成されます。情報セキュリティ委員会はその目的、権限、名称、業務等の意思決定機関です。作業部会のメンバーは社内から横断的に幅広く募られます。IT管理部だけや上位職位者等のみで構成されることはありません。こうすることで、多くの意見を取り入れたり、委員会の決定事項を各支店、部署、プロジェクトへ伝達することが容易になります。これらのメンバーは情報セキュリティ担当者と呼ばれます。

また、情報セキュリティ委員会とは独立した担当者として情報セキュリティ内部監査責任者を設置することもあります。経営者や情報セキュリティ委員会が決定したセキュリティ方針に基づきセキュリティ対策が実践されているかを監査する責任者です。監査責任者は社外の専門家に依頼することもあります。これにより、客観的な視点でセキュリティ対策を講じているかを確認することができ、社内外へセキュリティ対策の正当性を主張できます。

文書

情報セキュリティの認証として最も有名なものにISMS(情報セキュリティマネジメントシステム ISO 27001)があります。この認証取得には情報セキュリティポリシーと呼ばれる文書の作成が重要な要素となっています。情報セキュリティポリシーは、企業が定める情報セキュリティに関する方針、目的、行動指針をまとめた文書のことです。ここからは、情報セキュリティポリシーの文書にはどの様なものがあり、どの様なことが記載されているか紹介します。もちろん、情報セキュリティの方針、目的は各企業によって様々です。形式的な文書では無く、それぞれの企業に合った内容の情報セキュリティポリシーを策定することが重要です。

情報セキュリティポリシーとして作成する文書が決められている訳ではありません。
総務省のHPでは以下の3つの文書構成にすることを明記しています。ISMS認証取得の条件でも以下の文書が作成されていることが重要といわれています。名称はそれぞれの企業で異なるかもしれませんが、記載する内容や目的が、その企業に合ったもであるかが重要です。

  • 情報セキュリティ基本方針

  • 情報セキュリティ対策基準

  • 情報セキュリティ実施手順

■情報セキュリティ基本方針
企業として情報セキュリティに対する姿勢、対策を講じる目的、達成するために取るべき行動等の宣言を明記します。いわば、企業の情報セキュリティに対する決意表明の様なもので、社内外に公開するものです。

■情報セキュリティ対策基準
情報セキュリティ基本方針に則り、対策を実施する上で必要となる規定や範囲、対象者を明記します。セキュリティ対策をどの様に維持、改善する対策としてPDCAサイクルの必要性や具体策を明記することもあります。先に記述した情報セキュリティ委員会の設置や、体制、目的、権限等はこの文書に記載されることになります。情報セキュリティ対策基準は情報セキュリティ基本方針とは異なり、その時世に合ったセキュリティ対策となるよう随時見直し、修正されるものです。情報セキュリティ対策基準は社内の機密文書であり、社外に公開するものではありません。

■情報セキュリティ実施手順
対策基準をどの様に実践するかを明記した文書でマニュアルの様な文書です。詳細な手順が明記され、対象者はこの文書に従いセキュリティ対策を実施します。

セキュリティインシデントが発生したときの行動指針、対策、レポートラインも文書化されている必要があります。これは、情報セキュリティ対策基準、情報セキュリティ実施手順のいずれに記載してあっても良いでしょう。重要なことは、どこに記載されているかでは無く、実情に合った内容で明文化されていることです。これにより企業として統一された方針、目的をもってインシデントに対応できることができます。担当者によって、インシデント対策が異なるようでは企業としてのセキュリティ対策がされれているとは言えないですね。そして最も重要なことは、この対策により情報資産を脅威から守れるか、脅威を最小限に留めることが可能であることです。

日本国内の企業で、情報化社会と全く接しない企業は無いでしょう。インターネットもほぼ全ての企業に普及していると思います。スマートフォンも情報端末の一つです。この様な情報化社会で情報セキュリティポリシーを策定することは、企業や個人の情報資産を守る上で重要な活動となります。ISMSの取得とは関係無く、様々な脅威から情報資産を守るためには、どの様な姿勢で情報セキュリティ対策を実施するかを明文化し、対策を講じることは重要なことです。

あなたの会社にも情報セキュリティポリシーやそれに準じる文書があると思います。一度見直してみると、セキュリティに対する意識が変わると思います。