top of page

【CSIJコラム23(2024,8,28)】

「あまり話題にならない情報セキュリティポリシーの話」

 

エムオーテックス株式会社
サイバーセキュリティ本部 エキスパート
小関 直樹

 

 情報セキュリティに関するフレームワークやチェックリストは世に多く存在しています。それらのどれをとっても、「組織としての情報セキュリティポリシー(以下、「ポリシー」といいます)は定められていますか?」といった項目が、まず間違いなく含まれているでしょう。組織の情報セキュリティマネジメントにおいてそれだけ重要と考えられているポリシーですが、その品質や内容の良し悪しが問われることはあまりありません。ポリシーは、定められてさえいれば、中身は何でもよいのでしょうか? 

 

 構成の話で言えば、ポリシーは以下のように方針・基準・手順の3階層に分けて作成するのがセオリーとされています。また、これらに加えて、拘束力のないガイドラインを定める場合もあります。

1.方針(Policy)

組織の構成員が遵守すべき正式なルールであり、してよいこと・してはいけないことの大枠を定めるもの。対応は義務であり必須。

例)「マルウェア対策ソフトのシグネチャは、最新状態を保たなければならない。」

2.基準(Standard)

規程で定めたルールに対し、統一的な実現方法を定めるもの。対応は義務であり必須。

例)「マルウェア対策ソフトのシグネチャは、少なくとも週2回更新しなければならない。」

3.手順(Procedure)

特定の運用の詳細な実施方法を、ステップ・バイ・ステップで示すもの。対応は義務であり必須。

例)「マルウェア対策ソフトのシグネチャ更新の設定は、①メニューから〇〇を選択し、②設定画面にて××と□□にチェックし、③登録ボタンを押下…」

4.ガイドライン(Guideline)

一般的な推奨事項や提言を記載するもの。対応は任意。

例)「マルウェア対策ソフトのシグネチャは、可能な限り毎日更新することが望ましい。」

 セキュリティコンサルティングの仕事をしていると、さまざまなお客様のポリシーに触れる機会があります。しかし、上述した形できれいに整備されているケースは多くありません。方針・基準・手順の3階層でない場合が多いですし、必須事項と推奨事項が入り混じって書かれていたり、基準の中に詳細な手順が書かれていたりします。訳語の問題もあるため、文書名は「ポリシー」、「方針」、「基本方針」、「対策方針」、「基準」、「規程」、「規則」、「手順書」、「マニュアル」、「ガイドライン」、「ガイダンス」などさまざまですし、それらが組織によって異なる意味で用いられていたりもします。

 それが大きな問題かと言えば、必ずしもそうは思いません。ポリシーはセオリーだけで組み立てられるものではないからです。
 文書構成について言えば、現実には組織の文書管理ルールに従い、他の規程類と体系を合わせる必要があります。内容については、親会社や上位組織が定めた共通ポリシー、さらには業界標準等の制約を受ける場合があります。また、組織の事業方針や事業内容はもちろんのこと、歴史や風土にも影響されます。
 セオリーどおりの構成になっていれば、読みやすい・使いやすいというメリットはあるでしょう。しかし、上記のような複雑な要素を全てクリアしつつセオリーどおりにまとめるのは、なかなか難しいことです。

 

 では、ポリシーで陥りがちな罠とは何でしょうか? それは、借りもののポリシーを正しい姿だと思い込んで、自組織をそれに合わせ込もうとすることです。
 ポリシーの雛型やサンプルは提供されていますし、自組織の方針をウェブサイトなどで公開している組織もあります。それらを参考にすれば、それらしいポリシーを一応作ることはできるでしょう。ただ、それだけで済ませてしまうと、ポリシーがお飾りとして存在するだけになったり、本来必要でもないセキュリティレベルを実現しようと現場が無駄に苦しんだり、ということになりかねません。そのような場合は、仮にポリシーが策定してあったとしても、「ポリシーは定められていますか?」という問いにはバツをつけるべきかもしれません。

 

 ポリシーの良し悪しを考える上で重要なポイントは、「自組織に合わせた落とし込みができているか」です。情報セキュリティに関する条件やあるべき姿は、組織によって異なります。ポリシーも、それぞれの組織に適合したものでなければなりません。
 方針・基準・手順の3階層であるかはさておき、(方針で)自組織のあるべき姿を示しつつ、(基準や手順で)実現方法や運用方法を、自組織において現実に機能する形で具体化する必要があります。これができているなら、「ポリシーは定められていますか?」という問いには、胸を張ってマルをつけてよいでしょう。

bottom of page