インターネットが普及される以前の社会では、「情報漏えい」という言葉を耳にすることはほとんどありませんでした。「産業スパイ」が話題になることはあっても、情報漏えい事件が発生し始めたのは、ごく最近のことです。
現代においては社内で使っているパソコンの多くはインターネットに接続しており、そこからマルウェアに感染し、情報漏えいなどのセキュリティ事件に発展する可能性が高まっています。昨今のこうした問題は、高度かつ多様化した攻撃により引き起こされており画一的な対策では対応できない状況になりつつあります。
経営者はこのことを十分に理解し、「情報セキュリティマネジメント」へ積極的に取り組まなければいけません。本稿では、総務省が運営している『国民のための情報セキュリティサイト』より、情報セキュリティマネジメントの概要についてご紹介します。
情報セキュリティマネジメントとは?
現代において万能なセキュリティ対策は存在せず、企業ごとのシステム環境や守るべき情報に合わせて都度最適な対策を講じることが大切です。ただし、一定の枠組みが存在しており、セキュリティの確保を組織的/体系的に取り組むことを情報セキュリティマネジメントと呼びます。
この情報セキュリティマネジメントは、一般的には「PDCAサイクル」に沿ってセキュリティ対策を実施するもので、対策の計画に始まり、導入/運用、点検/評価、見直し/改善というサイクルを持続的に回すことでセキュリティ対策を、より実態に即したものにしていこうとするのが大きな目的です。つまり、情報セキュリティマネジメントとは、対策用の製品を導入して終わりというものではなく、組織としてどのように情報やリソースを保護して行くのかということを継続的に行うフレームワークということをご理解ください。
それでは実際にどのように情報セキュリティマネジメントを実践して行くのかを段階的にご紹介します。
計画(Plan)
「自社にとって適切なセキュリティ対策とは何か?」を明確にするために、会社や組織が保有している情報資産を洗い出した上で、セキュリティ上のリスクや課題を整理し、実態に即したセキュリティ対策の方針を定めた「情報セキュリティポリシー」を策定します。
導入/運用(Do)
前工程で策定した情報セキュリティポリシーを組織全体に周知し、必要に応じて集合研修などのセキュリティ教育を実施します。ポリシーは多くの場合において社員が守ってこその指針なので、目標とするセキュリティレベルを維持するために、ポリシーに沿った行動を取るよう徹底させます。
点検/評価(Check)
情報セキュリティポリシーを導入してセキュリティレベルは上がったか?現場の状況は変わったか?新しい問題は起きていないか?など、社会的な状況も踏まえた上で定期的にポリシーの評価を行い、組織全体に行き渡っているのかを監査します。
見直し/改善(Act)
前工程の評価結果によっては、情報セキュリティポリシーに手を加えなければいけません。ポリシーは「策定して終わり」ではなく、実態に即したものにするために定期的な改善が必要です。セキュリティ対策のニーズというのは、日々変化するものと考え、常にPDCAサイクルを回すことがポイントです。
これが情報セキュリティマネジメントの概要です。「セキュリティを管理する」ことは、単に情報セキュリティポリシーを策定するのではなく、運用状態を常にチェックしながらメンテナンスを繰り返し、今よりも堅固なセキュリティ対策を目指すことに意義があります。
情報セキュリティポリシーはどう作るのか?
情報セキュリティマネジメントに取り組む必要性は理解できても、いざ情報セキュリティポリシーを作るとなると、何から手を付ければよいか分からない、という担当者は多いでしょう。そこで参考にしたいのが、JNSA(日本ネットワークセキュリティ協会)が公表している『情報セキュリティポリシーサンプル改版(1.0版)』です。
同サンプル資料では1~15の項目で、「情報セキュリティ基本方針」から「リスク管理規定」や「SNS利用規定」まで、現代ビジネスに必要なセキュリティ対策に関するポリシー策定例を挙げてくれています。サンプル資料を策定したワーキンググループには、JNSA顧問をはじめ、業界での著名人がおり、参考にするだけで実用的な情報セキュリティポリシーが作成できるでしょう。
ぜひ、参考にしてみてください。
セキュリティ教育の実施について
情報セキュリティポリシーの策定は決して簡単なことではなく、時間と手間もかかりますので、策定が終わって「ふぅ…」と一息つきたくなる気持ちは分かります。しかし、本来の目的はポリシーを組織全体に周知して、その内容に沿った行動を取ってもらうことであり、ポリシーを策定すること自体が目的ではありません。
では、どのようにしてセキュリティ教育を実施すればよいのでしょうか?分厚い資料を各人に渡したり、単に方針や指針を伝えたりするだけでは、情報セキュリティポリシーに則った行動をしてもらうことはできません。そこで、経営幹部や部長クラスなどの管理職に対してセキュリティ教育を実施した上で、組織の末端までポリシーが行き渡るように教育を計画していきます。
さらに、情報セキュリティポリシーに関する同意書にサインをしてもらう、違反時の規定を設けるなどの方法をとりポリシーを常に意識させる取り組みも必要でしょう。
多くの場合、1度や2度のセキュリティ教育を実施したからといって情報セキュリティポリシーが組織全体に浸透したとは限りません。そのため、定期的にセキュリティ意識調査などを実施して、ポリシーがどれくらい浸透し、それに則った行動ができているかを調査しましょう。
情報セキュリティポリシーが浸透していない、その内容に即した行動をしている社員が少ない、などの場合は現在のポリシーや教育方法に問題があるのかもしれません。問題と原因を掘り下げて考えた上で、ポリシーの改善などに取り組みましょう。
情報システム部門に丸投げではなく、経営者が主導するセキュリティ対策を
「うちはセキュリティ対策を徹底しているよ」と公言する経営者の中には、社内の情報システム部門に対策を丸投げしているケースがよくあります。確かに情報システム部門は、システム等の扱いに長けていますが、セキュリティが専門分野とは限りません。
セキュリティ対策は、高度な専門技術を持った人材がいることも重要ですが、経営やマネジメントが主体となってセキュリティ組織を引っ張り、情報漏えいなどのセキュリティ事件を断固として起こさないという強い意志を示しながら取り組むことが、圧倒的に高いセキュリティレベルを維持できます。
セキュリティ対策を強化しても、新規顧客が獲得できるわけではありませんし、利益率が上がるわけでもありません。むしろコストがかかるものなので、対策に積極的になれない気持ちも分かります。しかし、見方を変えてみてください。高いセキュリティレベルを維持していることは安全性のアピールになり、最近では取引先のセキュリティ対策を意識する企業も多いことから、企業価値を高める要素の1つになります。さらに、現代社会においてセキュリティ事件が発生する確率というのは「万が一」ではなく、「千が一」や「百が一」といった確率であり、如何なる企業もサイバー攻撃の被害に遭う可能性があります。
企業規模の大小に関わらず、サイバーセキュリティは経営課題とみなす姿勢が求められております。また経営者のその姿勢がサイバー攻撃、侵入への適切な対応、サイバーレジリエンスにも現れてきているのが現状です。
この機会に自社のセキュリティ対策について再考し、情報セキュリティマネジメントの徹底に向けた計画/戦略を立ててみてはいかがでしょうか?
