セキュリティポリシーを策定、運用するには、多くの問題や障害が生じます。しかし、セキュリティポリシーは、企業の情報資産にアクセスできる状況にある人が、必ず守らなければならないもので、社則と同じ義務的な命令でなければなりません。セキュリティポリシーを策定するポイントと流れになります。
[1]まずは社内体制から
セキュリティポリシーは、企業の情報資産にアクセスできる状況にある人を対象としたもので、すべてのユーザー、運用スタッフ、管理者との間で意見交換して策定する必要があります。また、情報の管理者は誰か、誰が責任をとるのかを明確にする必要があります。
セキュリティが破られた時などの緊急事態に備えるためには、連絡体制をしっかりと確立し、組織全体が協調して動く必要があります。残念ながら、セキュリティ対策は、とかく円滑な業務の遂行とは両立しにくいものです。しかもその投資効果を目で見ることは困難で、社内体制がなかなか取り難いのが実情です。たとえば、最も使い勝手がよいシステムは、どんなユーザーにもアクセスを許容し、パスワードの入力は要求しないものです。
しかし、パスワードの入力を要求することで、システムは幾分使い勝手が悪くなりますが、安全性は向上します。したがって、ポリシーの策定には、相反する要素を比較検討し、事前に部門間の利害を調整する組織全体の方針をまとめることが必要です。
重要なことは、企業活動の指針となるセキュリティポリシーに対する、全社的な責任ある取り組みの姿勢を確立することです。そのためには経営者の支援が必須です。従業員の間に共通の目的と考え方を浸透させることは、企業文化を創造する道といえます。起こり得る危機から企業の情報資産を守るためには、こういった企業文化の確立が必要です。
[2]日本特有の組織文化に無理のないような設定
ポリシーの必要性を感じている、社内体制も整った、しかしどのように作成したらいいのかわからない…といったそんな声が聞こえてきます。理想論を書き込んだだけの「べき論」で固められたポリシーでは、絵に描いた餅になってしまいます。
いきなりポリシーの作成(明文化)作業に入ってしまったことから起こる過ちです。ポリシーは、第三者のものをそのまま転用できるものではなく、その組織体自身が独自に立案したものでなくてはなりません。また、欧米で発展したポリシーを日本企業で現実のものにするためには、日本の組織文化に無理のないものにしなければなりません。
自社の現状を客観的に分析し、自社固有の問題点を把握してはじめて、実効性のあるポリシーを作成することができるのです。
[3]強制力を持たせる
ポリシーは、「~すべき」「~したほうがいい」といった従業員に対する一般的、具体的な指示ではなく、「~しなければならない」という強制的で義務的な命令でなければなりません。セキュリティを破るのはコンピュータではなく「人間」であることを思い出してください。
強制的かつ義務的な命令は、それだけで強力な動機づけとなります。したがって、雇用されている限り、ポリシーに従わないものは解雇される旨を明確にする必要があります。セキュリティを業務の一部として実施し、ペナルティと報酬を関連づけましょう。
また、すべての関係者に誓約書を提出させることは、ポリシーを運用する上で重要なポイントとなります(誓約書にサインをすることは、それを読み、理解し、ポリシーに同意するという意思表示です)。
なお、「~すべき」「~したほうがいい」といった一般的・具体的な指示については、ポリシーに基づくガイドラインや運用手順書を別途策定し、その中で指示することになります。これらには、コンピュータ機器やソフトウェアなどに依存する具体的な対策についても記述します。普遍的なポリシーと具体的なガイドラインや運用手順書とを明確に区別することが肝要です。
[4]柔軟性を持たせる
セキュリティポリシーは、ある時点で完結してしまうような一時的なプロジェクトではなく、経理やマーケテイングと同様に、組織として継続して行う活動のひとつです。ポリシーには柔軟性が絶対に必要です。ポリシーが長期間にわたって柔軟性を持ち続けるためには、骨格をなすコンセプトに基づいて定期的に改訂される必要があります。
ポリシーを改訂する方法は明確に文書化しておく必要があります。ただし、策定する際にはできるだけ長期間適用可能なポリシーを作るべきで、たとえばポリシーと具体的なハードウェアやソフトウェア環境とは切り離されるべきです。特定のシステムに限定してしまうと、それがリプレースされたり変更されたりした時に、大変なことになります。かといって、現場の環境を無視したポリシーは意味がありません。この辺のバランス感覚が重要です。
[5]セキュリティポリシーの公布は社長名で
ポリシーは直接部門の生産性に影響を与えるものですから、ポリシーが完成したら、最終的に経営会議での承認を得て、経営トップが自らの名前で社内に告知しなければなりません。ポリシーは、原則として社外秘の機密文書に分類されますが、最近はECやEDIの本格化に備えて、取引の信頼の基礎として企業行動規範と同様にポリシーを外部に開示する動きもあります。これからは、社内外へ通知する総合的な取り決めが必要となるでしょう。
セキュリティポリシーの策定・運用プロセス
セキュリティポリシーは、一般ある順番、手順で策定・運用されます。ポリシーによる情報資産の保護は、むしろ情報の開示と共有を正しく行うための措置であることに注意しましょう。ポリシーとほかの規定・規則との関係も重要です。ポリシーの性格上社内の論議を招くのは必然です。ポリシーとほかの規定との不一致から厳しい批判を浴びないように留意してください。
コメント