なぜ、「セキュリティポリシー」が必要なの?――自社のセキュリティポリシーを一度も読んだことがない方へセキュリティ、いまさら聞いてもいいですか?(6)(3/4 ページ)

» 2016年03月15日 05時00分 公開
[増井敏克@IT]

ポリシーだけ定めても、運用できなければ意味がない

セキュリティポリシーの策定が必要であることは分かりました。でも、正直に言うとポリシーだけ定めたってどうせ効果はないと思ってしまいます。


その通りです。定めたセキュリティポリシーは、PDCAサイクルに沿って実際に運用できなければ、無用の長物になってしまいます。

 事実、情報漏えい事件を起こしてしまった多くの企業には、セキュリティポリシーが存在しました。しかしながら、実際には「社員がポリシーを守らなかった」ことが原因となった事件が多く発生しているのです。ポリシーやルールが順守されていない理由としては、「そもそも読んだことがない」あるいは「読みはしたが内容が分からなかった」といったことが考えられるでしょう。

 セキュリティポリシーは、「制定した」だけでは意味がありません。制定した内容に従って、運用することが重要です。そして、運用上の問題点があればポリシー自体も常に改善していかなければなりません。

 つまり、「PDCA(Plan、Do、Check、Act)」のサイクルを回すことが重要です。一度決めたルールであっても、それが順守されているかどうか、定期的にチェックを行い、必要に応じて指導・教育していく必要があります。

チェック、指導の対象はセキュリティ担当者だけで十分ですよね?


全ての従業員がポリシーを順守しなければ、セキュリティを維持することはできません。


 セキュリティはよく城壁に例えられます。全体として強固な作りになっていても、たった一箇所弱い部分があると、そこが狙われてしまいます。社員全員がセキュリティに対する意識を高めないと、せっかく定めたセキュリティポリシーも全く意味のないものになってしまいます。ぜひ、自社のセキュリティポリシーを確認してみてください。

Quiz:セキュリティポリシーを変更ときのポイントは?

次ページからは、セキュリティポリシー見直しのポイントを紹介します。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。