情報セキュリティポリシー
情報セキュリティポリシーとは
Section titled “情報セキュリティポリシーとは”組織が情報セキュリティに取り組むとき、「何を、どのように守るのか」を明文化したルールが必要になります。この組織全体のセキュリティに関する方針やルールをまとめた文書を情報セキュリティポリシー(情報セキュリティ方針)と呼びます。
情報セキュリティポリシーがない組織では、部署ごとに対策がバラバラになったり、担当者が変わるたびにルールが曖昧になったりします。ポリシーを策定し全社員に周知することで、組織として統一された対策を実施できるようになります。
情報セキュリティポリシーの3階層構造
Section titled “情報セキュリティポリシーの3階層構造”情報セキュリティポリシーは、一般に次の3つの階層で構成されます。上位の文書ほど抽象的・方針的な内容になり、下位にいくほど具体的・実務的な内容になります。
| 階層 | 名称 | 内容 | 策定する人 |
|---|---|---|---|
| 第1層 | 基本方針 | 経営陣のセキュリティに対する取り組み姿勢や基本的な考え方 | 経営層 |
| 第2層 | 対策基準 | 基本方針を実現するために守るべき具体的な規則・基準 | 情報セキュリティ担当部門 |
| 第3層 | 実施手順 | 対策基準に従って実際に行う操作手順やマニュアル | 各部門・担当者 |
たとえば、「顧客の個人情報を適切に保護する」というのが基本方針に当たります。「個人情報へのアクセスは担当者のみに制限し、アクセスログを記録する」が対策基準、「毎朝ログイン時にIDカードと指紋認証で本人確認を行い、退社時に端末をロックする」が実施手順にあたります。
試験で出るポイント
情報セキュリティの要素との関係
Section titled “情報セキュリティの要素との関係”情報セキュリティポリシーは、情報セキュリティが守るべき要素を踏まえて策定されます。基本となるのは機密性・完全性・可用性の3つ(CIA)で、さらに真正性・責任追跡性・否認防止・信頼性を加えた7つの要素があります。ポリシーでは、これらの要素をどのように確保するかの方針を定めます。各要素の詳しい解説は「情報セキュリティの概念」のページで説明しています。
情報セキュリティリスク
Section titled “情報セキュリティリスク”情報セキュリティリスクとは、情報資産に対する脅威が発生した場合に、組織が被る可能性のある損害や影響のことです。
リスクは「脅威」と「脆弱性」の組み合わせで生まれます。たとえば、「社員がフィッシングメールに引っかかる可能性(脅威)」と「セキュリティ教育が不十分という弱点(脆弱性)」が重なると、情報漏えいのリスクが高まります。
組織はこうしたリスクを特定し、影響の大きさや発生の可能性を評価したうえで、対策の優先順位を決定する必要があります。
リスクコミュニケーション
Section titled “リスクコミュニケーション”リスクに関する情報を、経営層・担当者・従業員・取引先など、すべての関係者の間で共有し、対応について意見を交わすことをリスクコミュニケーションといいます。
セキュリティ対策は情報システム部門だけの仕事ではありません。経営層がリスクの重要性を理解し、現場の従業員がルールを守る意識を持つためには、関係者間でリスク情報を共有し、共通認識を持つことが欠かせません。リスクコミュニケーションにより、組織全体でセキュリティ意識を高めることができます。
情報セキュリティインシデント
Section titled “情報セキュリティインシデント”情報セキュリティインシデントとは、情報セキュリティに関する事故やトラブルのことです。セキュリティポリシーに違反する事態や、セキュリティ上の脅威が現実化した事象を指します。
具体的には、次のようなものが情報セキュリティインシデントに該当します。
- ウイルス感染によるシステム停止
- 不正アクセスによる情報漏えい
- 従業員によるデータの持ち出し
- ノートPCやUSBメモリの紛失・盗難
- サービス妨害攻撃(DoS攻撃)によるWebサイトのダウン
インシデントが発生した場合は、被害の拡大を防ぐための初動対応、原因の調査、関係者への報告、再発防止策の実施といった一連の対応が求められます。
継続的改善(PDCA)
Section titled “継続的改善(PDCA)”情報セキュリティポリシーは、一度策定して終わりではありません。新しい脅威が次々と登場し、組織の環境も変化するため、継続的改善が不可欠です。
改善の手法として広く使われるのがPDCAサイクルです。情報セキュリティにおけるPDCAは次のように回します。
| フェーズ | 内容 | セキュリティでの具体例 |
|---|---|---|
| Plan(計画) | セキュリティポリシーや対策計画を策定する | リスクを評価し、ポリシーや対策基準を作成する |
| Do(実行) | 計画に基づいて対策を実施する | セキュリティ教育の実施、システムへの対策導入 |
| Check(点検) | 対策の効果や問題を確認する | セキュリティ監査の実施、インシデントの分析 |
| Act(改善) | 問題点を見直し、改善する | ポリシーの見直し、新たな対策の追加 |
このサイクルを繰り返すことで、セキュリティ対策の水準を段階的に高めていきます。
試験で出るポイント
個人情報保護
Section titled “個人情報保護”個人情報とは
Section titled “個人情報とは”個人情報とは、氏名、住所、生年月日、メールアドレスなど、特定の個人を識別できる情報のことです。顔写真や社員番号のように、他の情報と照合することで個人を特定できるものも含まれます。
企業は事業活動を通じて大量の個人情報を取り扱います。顧客データ、従業員の人事情報、会員登録情報などがその例です。これらの情報が漏えいすると、本人に多大な被害を与えるとともに、企業の信頼も大きく損なわれます。
個人情報保護の安全管理措置
Section titled “個人情報保護の安全管理措置”個人情報を適切に保護するために、組織が講じるべき対策を安全管理措置といいます。安全管理措置は、以下のような観点から総合的に実施します。
| 措置の種類 | 内容 | 具体例 |
|---|---|---|
| 組織的安全管理措置 | 体制やルールの整備 | 個人情報管理責任者の設置、取扱規程の策定 |
| 人的安全管理措置 | 従業員への教育・監督 | 定期的なセキュリティ研修、守秘義務契約 |
| 物理的安全管理措置 | 物理的な環境の保護 | サーバルームの入退室管理、書類のシュレッダー処理 |
| 技術的安全管理措置 | IT技術による保護 | アクセス制御、データの暗号化、ログ管理 |
プライバシーポリシー(個人情報保護方針)
Section titled “プライバシーポリシー(個人情報保護方針)”プライバシーポリシー(個人情報保護方針)とは、組織が個人情報をどのように収集・利用・管理・保護するかを対外的に宣言する文書です。
多くの企業のWebサイトには、プライバシーポリシーが掲載されています。利用目的、第三者への提供の有無、問い合わせ窓口などが記載されており、利用者が安心してサービスを利用できるようにする役割を果たしています。
情報セキュリティポリシーが「組織内部のセキュリティルール」であるのに対し、プライバシーポリシーは「個人情報の取り扱いに関する対外的な宣言」であるという違いを押さえておきましょう。
試験で出るポイント
サイバー保険
Section titled “サイバー保険”近年、サイバー攻撃による被害が深刻化する中で注目されているのがサイバー保険です。
サイバー保険とは、サイバー攻撃や情報漏えいなどのセキュリティインシデントが発生した際の損害を補償する保険のことです。具体的には、次のような費用が補償の対象になります。
- 事故対応にかかる調査費用
- 被害者への損害賠償金
- システム復旧にかかる費用
- 事業停止中の利益損失
技術的な対策をどれだけ講じても、サイバー攻撃を完全に防ぐことは困難です。万が一のインシデント発生時に、組織が受ける経済的な損害を軽減する手段として、サイバー保険はリスクへの備えの一つとして位置づけられています。
試験で出るポイント