セキュリティ対策のための基準の作り方

 2017.09.06 Secure Enterpriseポータル

セキュリティ対策基準」とは、昨今横行するサイバー攻撃に対し、自社のセキュリティ方針を決定すると共に、具体的な対策方法を示したものとなります。

セキュリティ対策基準を作成することで、セキュリティ対策へ組織的に取り組むための方針を作り、一致団結したセキュリティ対策を講じられます。さらに、業務上関係者(取引先、顧客、株主、投資家、自治体など)に対して自社のセキュリティ体制をアピールするカンバンにもなり、信頼関係を築く上で重要な役割を果たします。

実は、このセキュリティ対策基準を規定していないという企業は、非常に多く存在します。IPA(情報処理推進機構)が発表した、2016年中小企業のセキュリティ対策の実態調査では、情報漏えいなどのセキュリティ事件への対応を「規定していない」という企業が、68.7%もいることが分かります。

引用:IPA 独立行政法人 情報処理推進機構「2016年度 中小企業における情報セキュリティ対策に関する実態調査

「組織的に取り組んでいるかどうか」はおろか、今すぐにでもセキュリティ事件を起こしてしまう可能性のある企業が、半数以上も存在するのです。その中には、早急にセキュリティ対策に取り組みたいという企業もいるでしょう。

しかし、セキュリティ対策基準の作り方について、悩んでいる企業も多いのではないでしょうか?

そこで今回は、IPAが発行しいている「中小企業の情報セキュリティ対策ガイドラインの付録である、「情報セキュリティポリシーサンプル(クリックするとダウンロードが開始します)」を参考に、セキュリティ対策基準の作り方について解説していきます。

セキュリティ対策基準の基本は、全部で13項目ある

まず、セキュリティ対策基準を作成する上で押さえておきたい13項目について紹介します。これらの項目は、自社のセキュリティ対策基準を体系立てて策定するために、押さえていく必要があります。

  1. 組織的対策
  2. 人的対策
  3. 情報資産管理
  4. マイナンバー対応
  5. アクセス制御及び認証
  6. 物理的対策
  7. IT機器利用
  8. IT基盤運用管理
  9. システム開発及び保守
  10. 外部委託管理
  11. 情報セキュリティインシデント対応並びに事業継続管理
  12. 社内体制図
  13. 委託契約書機密保持

このうち、原則としてすべての企業が適用する項目が1~8、それと11になります。9は社内でシステム開発を行う場合、10は業務委託を行う場合、12は従業員数2名以上の場合、13は委託先と秘密情報や個人情報など重要な情報の授受が発生する場合に適用します。

組織的対策

それでは、各項目の詳細について紹介していきます。まずは、項目1の「組織的対策」です。

組織的対策とは、そのような姿勢・体制でセキュリティ対策に取り組むかを明示するための項目です。基本としては、セキュリティ対策委員会の組織体制、セキュリティ対策への取り組みの監査や点検、セキュリティに関する情報共有について明示します。

人的対策

2つめの項目である「人的対策」では、情報セキュリティに対する組織人の責務を明確にし、退職時の情報処理やセキュリティ教育について明示するためのものです。特に重要なのが、セキュリティ教育でしょう。

セキュリティ対策の成否は「人」という要因が大きく占めているので、徹底したセキュリティ教育を実施し、それを周囲に明示することが大切です。

情報資産管理

情報資産管理台帳を作成し、各資産それぞれの機密性を明確にした上で、情報の取り扱い方について明示します。近年では「誤操作」や「管理ミス」による情報漏えいも非常に多いので、重要な項目の一つです。

マイナンバー対応

2016年1月から開始したマイナンバー制度では、これまで以上に従業員の個人情報保護が重要視されるようになりました。このため、従業員の個人情報を保護するために、マイナンバーの管理方法や退職時の処理など、様々なシーンを想定した取り扱い方を明示する必要があります。

アクセス制御及び認証

IT化が進み、機密情報のほとんどは社内システム、外部データセンター、あるいはクラウドサービス上に保管されています。こうした、機密情報を保管している空間に誰もがアクセスできる状態にあると、セキュリティリスクは急増します。そこで、アクセス権限の明示と、パスワード設定などアクセス制御に関わる項目を明示します。

物理的対策

「物理的対策」とは、オフィスの施錠やPCなどのデバイス管理、端末の利用者登録を行ったり、入退室時の記名を徹底するなど物理的な部分で行うセキュリティ対策です。前述のように、内部要因による情報漏えいは少なくありません。このため、物理的対策についても明示することが大切です。

IT機器利用

「IT機器」とは主にソフトウェアを指すもので、サーバやPCなどの端末に導入するソフトウェアの規定、あるいはセキュリティ対策システムの導入に関する規定を明示します。特に、自社のセキュリティ対策システム環境を明示して、セキュリティ体制をアピールすることは大切です。

IT基盤運用管理

IT基盤の運用体制について明示します。この項目は、社内システムを構築している企業のみと誤解する方が多い項目です。しかし実際は、クラウドサービスなどを全面的に利用している企業でも、「IT基盤運用管理」について明示しなければなりません。

システム開発及び保守

システム開発会社が抑えるべき項目で、特に重要なのが脆弱性(セキュリティ上の弱点)に対する取り組みです。脆弱性はすべてのサイバー攻撃の起点となる部分なので、如何に脆弱性対策を徹底しているかを明示する必要があります。

外部委託管理

委託先の評価基準や、委託先の選定など、外部委託を行っている企業が「委託先のセキュリティ対策も重視していますよ」と明示する項目になります。

情報セキュリティインシデント対応並びに事業継続管理

「インシデント」とは「事件」という意味で、セキュリティ事件が発生した際の対応、及び事業継続のための復旧体制などを明確にします。セキュリティ事件が起きた時が、自社のセキュリティ体制の実態が最もあらわになるときです。

社内体制図

「組織的対策」における、セキュリティ対策委員会(またはそれに類似した組織)を体制図として明示します。

委託契約書機密保持

外部委託に関する契約書内の、機密保持に関する条項を明示するものです。委託先の重要条の授受が発生する場合、セキュリティ対策基準として明示する必要があります。

まとめ

セキュリティ対策基準の作成は、担当者に丸投げするのではなく、経営者自身もぜひ一緒に取り組んでみてください。それにより、経営者自身がセキュリティ対策について深く理解することができ、業務上関係者にセキュリティ対策について詳しく説明することもできます。そうすれば、セキュリティ対策を徹底している企業というイメージを与え、信頼関係を築くことも可能です。