セキュリティポリシーの策定で危機を防ぐには？

セキュリティポリシー策定の必要性

企業等の団体において情報セキュリティに関する規則をまとめたものが「セキュリティポリシー」で、情報セキュリティポリシーとも呼ばれています。2016年には、マイナンバー制度（2015年10月施行）の業務利用も開始されました。全ての企業に対して、十分な情報セキュリティ対策が求められる時代を迎えており、全社的なセキュリティポリシーの策定が不可欠となっています。

社内の情報はファイアウォールを設置し、各クライアントにウィルス対策ツールをインストールすれば、完璧に防御できるというものではありません。

例えばパソコンのWebブラウザを表示しただけで、そのWebサイトから攻撃を受け、不正なファイルをダウンロードされて重要な情報を盗まれる、といった可能性もあるからです。こういった事態に陥る可能性も、セキュリティポリシーがあれば低減できます。

セキュリティポリシーはリスク管理にも有効

セキュリティポリシーは、リスク管理を行なう上でもなくてはならないものです。管理しているデータベースサーバに障害が発生してしまった場合、あらかじめ復旧手順をマニュアルとしてまとめておけば、素早く、確実にバックアップから復旧させることができます。

また、重要な情報を扱う場合、サーバ室や建物への入退室の記録を残す、複数の鍵によって施錠し鍵の管理を徹底する、といった物理的な対策も、セキュリティポリシーに含めておくことが可能です。こういった観点からも、様々な事態を想定したセキュリティポリシーを策定しておくことは急務です。

セキュリティポリシー策定の副次的効果

セキュリティポリシーには、「業務効率」や「会社の信頼度」向上といった、追加のメリットもあります。例えば、セキュリティポリシーで利用するWebサービスを規定しておくだけでも、メリットは得られます。業務に必要なサービスを検索する手間が省ける上、検索中に危険なWebサイトに接続して攻撃を受けるという可能性を減らすことができるのです。

また、ひとたび情報漏えい事件が起こってしまうと、業績にまで大きく影響が及んでしまいます。その対策として行き届いたセキュリティポリシーを策定しておけば、取引を検討している企業から、一定の信頼を得ることができます。

既に取引を行なっている企業についても、取引の要件としてセキュリティポリシーの有無が加えられることもあるので、早急に策定しておくに越したことはありません。

策定したセキュリティポリシーはツールを導入して運用する

セキュリティポリシーは単に策定しただけでは、業務において実用上の効果はありません。セキュリティポリシーに従って、業務を改善していくことが大事なのです。

セキュリティポリシーが固まったら「現状のセキュリティ対策での実現度を確認する」という工程に進みましょう。新規策定、改訂に関わらず、厳格な運用を目指したポリシーでは、不足している部分があるはずです。その部分について、まずは運用改善で補えるか検討することになります。

運用改善でも不足する部分は、新たなツールを導入してクリアしていきます。従業員に対して危険なWebサイトへの接続を禁止したとしても、それが徹底されるとは限りません。また、転送によって攻撃用のWebサイトに誘導されることもあります。こういったケースでは、接続をブロックするフィルタリングツールも有効です。

ツール導入時はコスト、クライアントへの負荷等、総合的な比較作業を行なうことになります。場合によっては、既存のツールを置き換えたほうがコストメリットを得られることもあるので、幅広く製品比較を行なうことが重要です。

さらに、実際に運用していくと、セキュリティポリシーを逸脱せず従来と同じような手抜きができる、抜け道のようなものが見つかることもあります。こういったほころびを残したままでは、セキュリティ対策として機能しません。抜け道をひとつひとつ塞いでいく作業も、継続して実行していくことが肝心です。