サンプルを用いたポリシー策定方法：実践！　セキュリティポリシー運用（3）

「外部接続に関するセキュリティポリシーサンプル」の概要

　今回は、実際に情報セキュリティポリシーを策定する際の手法、注意点などを日本ネットワークセキュリティ協会（JNSA）より公開されているサンプルを参考にしながら解説していこう。

図1 日本ネットワークセキュリティ協会（JNSA）より公開されているセキュリティポリシーサンプルドキュメント（「外部接続に関するセキュリティポリシーサンプル」http://www.jnsa.org/active1_1.html）

　日本ネットワークセキュリティ協会は2000年4月に設立され、ネットワークセキュリティに関するさまざまな活動を行っており、2001年7月に特定非営利活動法人（NPO）として認可され、日本におけるネットワークセキュリティの質の向上などを目標とした活動を行っている。

　その中の1ワーキンググループ（WG）として「セキュリティポリシー策定WG」がある。このWGでは、さまざまなシステムに汎用的に適用できる情報セキュリティポリシーのテンプレート（ひな型）が求められているという現状を受けて、情報セキュリティシステムの構築・運用における情報セキュリティポリシーのサンプル（会員が利用できる形式で）を作成した。それが今回解説する「外部接続に関するセキュリティポリシーサンプル」である。

　タイトルのとおり、このサンプルは外部に接続するネットワークに特化した文書であり、その適用範囲を外部接続部分に限定している。その適用範囲を図で示すと以下のようになる。

図1 「外部接続に関するセキュリティポリシーサンプル」の適用範囲（枠で囲ってある部分が範囲）

　範囲が外部ネットワーク接続に限定されているのは、このWGが1年単位で成果物を発表する必要があり、ある程度範囲を絞る必要があったためである。

　その範囲を決定する際に、外部に公開するWebサーバをはじめとする外部ネットワーク接続の部分が、企業として第1にセキュリティレベルを維持しなければならないものであろうという結論に至り、今回の「外部接続に関するセキュリティポリシーサンプル」を作成する運びになった。そのためBS7799やISMS認証基準に含まれている以下の項目については、このサンプルには含まないものと定義されている。

• 情報の取り扱いに関するもの
• 社内ネットワーク使用に関するもの
• 情報システム導入に関するもの
• 物理的セキュリティに関するもの全般
• 人的セキュリティに関するもの全般

　また、このサンプルの文書構成は下図のようになっている。

図2 「外部接続に関するセキュリティポリシーサンプル」の文書構成

　つまりこのサンプルには前回説明したプロシージャの部分は含まれておらず、いわゆる基本ポリシーの部分と、スタンダードの一部分を示したものである。簡単に構成を説明すると、このサンプルでは最上位層の基本ポリシーに当たる部分がさらに2階層に分かれていて、以下の2文書から構成されている。

• 外部ネットワーク接続セキュリティ基本方針
• 外部ネットワーク接続セキュリティ方針

　最上部の「外部ネットワーク接続セキュリティ基本方針」は会社の情報資産を適切に保護・管理することを経営者が意思表明したもので、この文書は社会一般に公開される。A4判1ページ程度の文書であるが、費用対効果の出にくいといわれているネットワークセキュリティにおいて、企業が情報セキュリティに真剣に取り組んでいくというアピールポイントとなり得る部分であり、非常に重要である。また、情報セキュリティへの取り組みは、経営陣の支持・支援がなければ成り立たない。そのため、経営陣の中でも最高の責任者である経営者からの宣言は必須であると考えられる。このことは、もう一方の「外部ネットワーク接続セキュリティ方針」の2.3.1にも経営陣の責務として明記されている。

　その「外部ネットワーク接続セキュリティ方針」は全社に向けて情報セキュリティの方針を記述したもので、趣旨、セキュリティ委員会の構成と位置付け、対象者、用語の定義、情報セキュリティに関する体制などについて細かく定義されている。そのため、社員には公表されるが、社外には公開されない。このように公開する文書と公開しない文書をはっきりと切り分けるため2階層になっているのである。

　今回のサンプルでは範囲を外部ネットワーク接続に限定しているので、このようなタイトルになっているが、内部ネットワークやそのほかのセキュリティ項目すべてを含む総合的な情報セキュリティポリシーの場合には、それぞれ以下のような名称になるであろうか。

• 情報セキュリティ基本方針
• 情報セキュリティ方針

　もちろん、2階層に分かれていなくても問題はない。「情報セキュリティ基本方針」の中に、「宣言書」というような項目を作って、その部分だけを一般に公開するということでもよいと思う。

　そして、基本方針および、方針の下位に位置するのが「外部ネットワーク接続セキュリティに関する標準」であるが、これはこのサンプルが以下の9つのスタンダード（対策標準）から成るということを宣言する、スタンダードの冠部分である。

スタンダードの項目立て

• インターネット利用に関する標準
• 外部公開に関する標準
• 専用線およびVPN接続に関する標準
• リモートアクセスに関する標準
• ウイルス対策に関する標準
• 顧客のプライバシーに関する標準
• セキュリティ教育に関する標準
• 罰則に関する標準
• スタンダード更新手順に関する標準

スタンダードのカスタマイズ

　大まかに「外部接続に関するセキュリティポリシーサンプル」の構成と概要を説明したところで、次に各スタンダードの内容について見ていこう。

　まず、「インターネット利用に関する標準」を見てほしい。順守事項に電子メール利用方針、Web利用方針、利用者管理方針などが項目として挙げられているが、これらの項目はそれぞれ1つのスタンダードとして記述してもよい。

　もともとこのサンプルは、外部接続の部分に範囲を限定したこともあり、管理者のセキュリティレベルと意識の向上にその焦点を絞っているのだが、現在では「第1回 情報セキュリティポリシー入門」で解説したように、メールによるウイルス感染、および不用意なWeb閲覧による脅威などが急速に増加したため、管理者だけでなく、コンピュータを使用するすべてのユーザーにネットワークセキュリティの脅威を意識させ、対策を行わせることが必須である。この現状を考えると、これらの項目は当然スタンダードとして記述し、各スタンダードの参照と、内容の理解、そして順守を徹底させる必要がある。

　それぞれの項目は、例えば以下のようなスタンダードとして定義できるだろう。

• 電子メール利用に関する標準
• Webの利用に関する標準
• アカウント管理に関する標準

　また、パスワードに関する規定が「外部公開に関する標準」と「専用線およびVPNに関する標準」の各1項目として記述されているが、情報セキュリティの観点からいえばかなりの重要度を占める項目なので、これも、

• パスワードに関する標準

などとして、1スタンダード項目とすることは必須であると思われる。

　それぞれを1スタンダードとするなら、当然その内容もこのサンプルよりも具体的なものになるだろう。

電子メール利用方針のカスタマイズ

　電子メール利用方針には、以下のような規定が記述されている。

1. 社内の電子メールを社外のメールサーバへ転送してはならない
2. 機密情報を社外へ送信してはならない
3. 不用意にメールアカウントを外部へ公開してはならない
4. 添付ファイルにウイルスが内在することの可能性を考慮しなければならない

　まず1だが、これはメール転送に関する規定として1つの項目として記述した方がよいだろう。例えば、以下のような内容になるだろうか。

＜メール転送に関する規定＞

• 個人のプライベートアドレスへのメール転送は基本的に禁止する
• 出張時など業務上、個人のプライベートアドレスへのメール転送が必要である場合、上長の許可を得たうえで、上長からネットワーク管理者に申請する
• 個人のプライベートアドレスへのメール転送申請時には、その理由、期間を併記しなければならない

　さらに、この規定の下位に「メール転送申請手順」を記述し、「メール転送申請書」のフォーマット文書を添付するとよいだろう。

　また3については、会社のメールアカウントを使用した掲示板への書き込みや、社外のメーリングリストへの投稿などについても併記するとよいのではないだろうか。例を挙げると以下のようになる。

＜メールアカウントの取り扱いに関する規定＞

• 不用意に会社のメールアカウントを外部へ公開してはならない
• 会社のメールアカウントを使用した掲示板への書き込み、および社外のメーリングリストへの投稿は、業務上必要な場合のみに限定し、その内容に十分注意すること

　また、電子メールに関するスタンダードであるので、当然、使用を許可する電子メールソフトウェアの名称と、そのインストール、設定方法などについて記述する必要がある。

＜電子メールソフトウェアに関する規定＞

• 当社の標準電子メールソフトウェアは○○○○である
• 電子メールソフトウェア△△△△は使用禁止とする
• ○○○○以外の電子メールソフトウェアを使用する場合は、○○○○と同等の機能、およびセキュリティレベルなどを持つ電子メールソフトウェアの最新版を、個人の責任において使用するものとする

　そして、この規定の下位に電子メールソフトウェア○○○○のインストールマニュアルを添付するとよい。

　4もまた、添付ファイルの取り扱いに関する規定として項目立てしてもよい。例えば以下のようになる。

＜添付ファイルの取り扱いに関する規定＞

• 受信メールの添付ファイルを開く前には必ずウイルススキャンを行わなければならない
• 添付ファイル付きのメールを送信する場合には、送信前に必ず添付ファイルの内容を再確認しなければならない
• 添付ファイル付きのメールを送信する場合には、送信前に必ずウイルススキャンを行わなければならない

Web利用方針のカスタマイズ

　Web利用方針には、以下のような規定が記述されている。

1. SSLなどの暗号通信を行ってはいけない
2. 信頼できないサイトへアクセスしてはならない
3. 署名のないActiveXやJava、JavaScript、VBScriptなどのコードを実行してはならない
4. Cookieの設定はOFFにしておかなければならない

　しかし、これらの具体的な規定を記述する前に、使用を許可するWebブラウザについて大前提として記述するべきである。例えば以下のように記述する。

• WebブラウザはMicrosoft Internet Explorer、もしくはNetscape Communicatorの最新バージョンを使用すること
• Webブラウザに新たなセキュリティホールが見つかった場合は、迅速に修正プログラムを適用しなければならない
• 業務上、上記のWebブラウザの最新バージョンを使用できない場合は、上長の許可を得たうえで使用し、社内ネットワークから切り離すなど何らかの手段を取らなければならない

　そのうえでWeb利用方針にあるような具体的な規定を記述し、階層でそれらの設定方法を記述したマニュアルを添付した方がよい。

利用者管理方針のカスタマイズ

　利用者管理方針には、以下のような規定が記述されている。

• 人事システムに登録されている利用者に対して、アカウントおよびアクセス権の登録、変更、削除を行うことができる
• 利用者情報は、常に最新の状態を維持しなければならない

　サンプルでは外部接続部分に範囲が限定されているのでこれでよいかもしれないが、企業のネットワークにはアカウントと一言でいっても、社内ネットワークへの接続アカウント、メールアカウント、そのほかの社内システムのアカウントなどさまざまなアカウントが存在する。

　それらのアカウントごとに管理方法が異なる場合もあるだろうし、それらすべてが共通であっても、Webサーバ、メールサーバ、社内システムの管理者が違う場合は、それぞれのアカウント管理方法について明記する必要がある。例えば以下のようになる。

• 人事担当者は、人事システムに社員情報の登録、更新、削除を行わなければならない
• 人事担当者は、社員情報に変更があった場合には、人事システムへの社員情報の登録、更新、削除すると同時に、Webサーバ管理者、メールサーバ管理者、および社内システム管理者にアカウントの登録、更新、削除依頼を行わなければならない
• 社員が退社する場合は、退社日から1週間以内に人事システムから退社する社員のアカウントを削除すると同時に、Webサーバ管理者、メールサーバ管理者、および社内システム管理者にアカウントの削除依頼を行わなければならない

効果的な情報セキュリティポリシーを実現する3番目のポイント

　以上、各スタンダードのカスタマイズ方法について解説した。すべてのカスタマイズ方法を解説することは無理であるため、解説がほんの一部分だけになってしまったことをご了承いただきたい。

　しかし、これらのカスタマイズにおいて焦点を絞ったのは管理者ではなく、一般ユーザーのセキュリティレベルと意識の向上であるということに注目してほしい。この「外部接続に関するセキュリティポリシーサンプル」の範囲を決定したのは2000年秋であり、メール添付型のウイルスやInternet Explorerの利用による被害についての認識度はまだまだ低かった。当時は「外部ネットワーク接続の部分が企業として第1にセキュリティレベルを維持しなければならないもの」であったといえるかもしれないが、現在ではネットワークを使用するうえでセキュリティを意識しなければならないのは、管理者だけではなくコンピュータを使用するすべてのユーザーである。

　従って、情報セキュリティポリシーを策定する際には、一般のユーザーにも理解しやすいよう規定は具体的に記述し、その規定を守りやすいよう実行手順をマニュアルとして規定と併記することが望まれる。

　効果的な情報セキュリティポリシーを実現する3番目のポイントは、“情報セキュリティポリシーは一般ユーザーと社内ネットワークのセキュリティに焦点を絞って、具体的で分かりやすく記述する”ということである。

図3 効果的な情報セキュリティポリシーを実現する3番目のポイント

　次回は、情報セキュリティポリシーを策定した後、どうやってその運用を行っていくか、その手順とコツ、注意点などについて解説する。

【出典】「外部接続に関するセキュリティポリシーサンプル（0.9版）」
NPO日本ネットワークセキュリティ協会（JNSA）
http://www.jnsa.org/