セキュリティ、いまさら聞いてもいいですか?(6):なぜ、「セキュリティポリシー」が必要なの?――自社のセキュリティポリシーを一度も読んだことがない方へ (1/4)
セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第6回のテーマは、「セキュリティポリシー」です。「人的要因」によるセキュリティ事故を防ぐためのポリシーの策定・運用・変更のポイントについて解説します。
自社の「セキュリティポリシー」、読んだことありますか?
前回、パスワード漏えいについて学びましたが、実際に自分のパスワードをどう運用すればよいのか迷っています。何か基準になるようなものはないでしょうか?
会社などの組織には、「セキュリティポリシー」があるはずです。まずはそれを読んでみましょう。
多くの企業では「セキュリティポリシー」が定められています。経済産業省と情報処理推進機構(IPA)が策定した「サイバーセキュリティ経営ガイドライン」においても、「経営者がセキュリティポリシーを策定し、組織の全ての構成員に周知すること」が求められています。
しかし、残念ながら、セキュリティポリシーをせっかく定めても、一度も読んだことがないという従業員が少なくないのが実情のようです。読者の皆さんは、自社のポリシーを読んだことがあるでしょうか? 「書いてある内容が難しい」と感じるかもしれませんが、ざっとでもよいので、ぜひ一度は目を通してみることをお勧めします。
早速、会社のWebサイトで公開されていた「セキュリティポリシー」を読んでみたのですが、何だか漠然とした内容で、具体的に何をすればよいのか、よく分かりませんでした。
外部に公開されているセキュリティポリシーとは別に、内部向けのより具体的な「対策基準」や「実施手順」があるはずです。
企業のWebサイトなどで公開されているセキュリティポリシーを見たとき、「当たり前のことが書いてあるだけ」という印象を持つ人も多いかもしれません。実際、公開されているセキュリティポリシーはどの組織もおおむね似たようなものです。
しかし、多くの会社が外部に公開しているのは、セキュリティポリシーの中でも「基本方針」と呼ばれる部分だけです。セキュリティポリシーにはそれ以外にも「対策基準」「実施手順」などがあります。
基本方針は多くの会社で似ているため、それだけを見ても具体的なセキュリティ運用のイメージは持てないでしょう。具体的な運用を知るには、まず「対策基準」を見てみてください。そこには多くの場合、「パスワードの文字数は何文字以上にするか」といった具体的な方針が書かれているはずです。
また「実施手順」には、さらに具体的な対策の手順が記載されています。これらの詳細なセキュリティポリシーは、公開することでセキュリティ上の問題が起きる可能性があるため、一般に社外には公開されていないのです。
Quiz:なぜ、セキュリティポリシーの策定が必要なのでしょうか?
次ページからは、セキュリティポリシーの必要性について解説します。
関連記事
Copyright© 2016 ITmedia, Inc. All Rights Reserved.
@IT Special
- PR -TechTargetジャパン
ホワイトペーパー(TechTargetジャパン)
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。