なぜ、「セキュリティポリシー」が必要なの?――自社のセキュリティポリシーを一度も読んだことがない方へセキュリティ、いまさら聞いてもいいですか?(6)(1/4 ページ)

セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第6回のテーマは、「セキュリティポリシー」です。「人的要因」によるセキュリティ事故を防ぐためのポリシーの策定・運用・変更のポイントについて解説します。

» 2016年03月15日 05時00分 公開
[増井敏克@IT]
「セキュリティ、いまさら聞いてもいいですか?」のインデックス

連載目次

「セキュリティポリシー」、読んだことありますか?

前回、パスワード漏えいについて学びましたが、実際に自分のパスワードをどう運用すればよいのか迷っています。何か基準になるようなものはないでしょうか?


会社などの組織では、「セキュリティポリシー」があるはずです。まずはそれを読んでみましょう。


 多くの企業では「セキュリティポリシー」が定められています。経済産業省と情報処理推進機構(IPA)が策定した「サイバーセキュリティ経営ガイドライン」においても、経営者がセキュリティポリシーを策定し、組織の全ての構成員に周知することが求められています。

 しかし残念ながら、セキュリティポリシーをせっかく定めても、一度も読んだことがない従業員は少なくありません。「書いてある内容が難しい」というのがその主な理由ですが、ぜひ、ざっとでもよいので、一度は目を通してみることをお勧めします。

早速、会社のWebサイトで公開されていた「セキュリティポリシー」を読んでみました。漠然とした内容で具体的に何をすればよいのか、よく分かりませんでした。


公開されているセキュリティポリシーとは別に、内部向けの「対策基準」や「実施手順」があるはずです。


 企業のWebサイトで公開されているセキュリティポリシーを見たとき、「当たり前のことが書いてあるだけ」という印象を持つ人も多いかもしれません。実際、公開されているセキュリティポリシーはどの組織でも、おおむね以下のような内容になっているはずです。

 しかし、多くの会社が外部に公開しているのはセキュリティポリシーの中でも「基本方針」と呼ばれる部分だけです。多くの場合、セキュリティポリシーは「基本方針」「対策基準」「実施手順」で構成されています。

 基本方針は多くの会社で似ているため、それだけを見ても具体的なセキュリティ運用のイメージは持てないでしょう。具体的な運用知るには、まずは「対策基準」を見てみてください。そこには多くの場合、「パスワードの文字数は何文字以上にするか」といった具体的な方針が書かれているはずです。

 また「実施手順」には、さらに具体的な対策の手順が記載されています。これらの詳細なセキュリティポリシーは、公開することでセキュリティ上の問題が起きる可能性あがるため、一般に社外には公開されていないのです。

Quiz:なぜ、セキュリティポリシーの制定が必要なのでしょうか?

次ページからは、セキュリティポリシーの必要性について解説します。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。