Security&Trust

第4回 読者調査結果発表
〜情報セキュリティポリシーの策定状況は?〜


小柴 豊
@IT マーケティングサービス担当
2002/8/23

 不正侵入やサービス妨害、ワーム感染などのセキュリティ・インシデントが急増する中、対症療法的な対策を越えた『情報セキュリティ・ポリシー』(以下ポリシー)策定の必要性が唱えられている。さまざまなガイドラインや認証制度の確立など、ポリシー策定に向けた環境は整備されてきたが、実際の企業活動においてはどの程度浸透しているのだろうか? Security&Trustフォーラムが実施した第4回読者調査の結果から、その状況を紹介しよう。

読者勤務先のポリシー策定率:44%

 まずは読者勤務先でのポリシー策定実態を尋ねたところ、全体の33%が「全社的なポリシーを策定している」、同11%が「特定部門を対象としたポリシーを策定している」と答えており、現時点でのポリシー策定率は合計して44%となった(図1)。また現在は未着手の企業においても、その半数近くは「今後策定を予定/検討している」状況にあり、ポリシー策定が企業活動の“コモンセンス”となる日も、そう遠くはないように思われる。

図1 情報セキュリティポリシー策定状況(N=296)

ポリシー策定理由:管理課題と被害経験がきっかけに

 ところで、企業はなぜポリシー策定を急ぐ必要があるのだろうか? ポリシーを策定済または予定・検討中の読者(206人)に、その策定理由を聞いた結果、約半数が「情報システム部門で管理上必要となったため」および「ウイルス感染や不正侵入などの被害を受けて」を挙げている(図2)。ここ数年のセキュリティ・インシデント増加に伴い、企業の情報システム管理部門はウイルスや不正侵入対策に追われてきた。1ユーザーの無自覚な行動によって膨大なリカバリー作業を強いられる管理者からすれば、ポリシー策定はプロアクティブなセキュリティ管理の第一歩として必須のプロセスといえるのだろう。

図2 情報セキュリティポリシー策定理由(N=206)

ポリシー策定時に役立つガイドライン/資料とは

 さて実際にポリシーを策定する際、いきなりゼロから書き起こせるような人はまずいないだろう。そこでポリシー策定時に読者が参考にする外部情報源を尋ねたところ、内閣情報セキュリティ対策推進室が公表している「情報セキュリティポリシーに関するガイドライン」がトップに挙げられた(図3)。これはもともと各省庁用に作られたガイドラインだが、ポリシー策定手続きの流れなどがコンパクトにまとめられており、一般企業でも入門資料的に利用できるものだ。

 またBS7799をはじめとする標準ガイドライン以上に、「先行他社の事例」が参照されているのも興味深い。ポリシー策定の第一歩となる“情報資産価値の洗い出し”段階では、当該組織の業務内容などによってその評価方法も大きく異なってくるだけに、抽象化された標準以上に具体的な事例の内容が参考になるのだろう。

図3 ポリシー策定時の参考ガイドライン/資料(n=206)

セキュリティポリシーと認証取得意向

 最近ではポリシー策定と関連して、セキュリティの管理体制を第三者が評価する「BS7799」や「ISMS」などの認証制度が話題になっている。こうした認証について、読者の取得意向を聞いた結果が、図4だ。図1と並べてみると、ポリシー策定の浸透度に比べて認証取得意向はさほど高くないようだ。また「ポリシーは策定するが、認証取得には関心がない」との回答も20%となった。先述したとおり、現在のポリシー構築要因はセキュリティ被害や管理課題の克服が主であるため、企業として認証を取得する必然性が薄いとも考えられる。認証制度が本格的に機能するには、商取引の前提条件として認証取得が求められるような、社会環境の変化が必要なのかもしれない。

図4 セキュリティ管理体制の認証取得意向(n=206)

ポリシー実践のためのスタンダードとは

 ポリシーの構成は、大まかに経営者の宣言文である「基本ポリシー」と、実践にあたってそれを具体化した「スタンダード(基準群)」および「プロシージャ(手順書群)」に分かれる。そこでポリシーの実践内容を規定する「スタンダード」について、読者勤務先で現在どのような基準が立てられているのか聞いたところ、もっとも多かったのは「ウイルス対策」に関するものだった(図5)。以下「機密情報の取り扱い基準」「電子メール利用基準」と続いており、これが現時点での情報セキュリティのプライオリティを表わしているともいえそうだ。

 当フォーラムでは、今後こうした情報セキュリティポリシー関連の情報提供を進めて行く予定だが、すでにポリシー策定に迫られている方には、本文末の「関連記事&リンク」を参考にしてみてほしい。

図5 セキュリティポリシー実践時に作成する基準(n=206)

調査概要

  • 調査方法:Security & Trust サイトからリンクした Webアンケート
  • 調査期間:2002年6月17日〜7月19日
  • 回答数:296件
関連記事&リンク
【連載】情報セキュリティマネジメントシステム基礎講座
【書評】セキュリティポリシー策定に役立つ4冊!
【Security&Trustウォッチ】費用対効果を認識したといえるISMS認証取得
【Security&Trustウォッチ】セキュリティ対策よりも認定取得が目的に?

 

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間