セキュリティポリシーの策定状況
比較的多くの企業がセキュリティポリシーを策定している。特に大企業では2002年現在で,策定済および策定作業中の割合が約半数になります。これには,次の理由があると思われます。
- インターネット環境での脅威が現実に発生していること
- インターネットを用いた商取引が多くなり,情報セキュリティ対策に取り組んでいることを社外に示す必要があること
- ISMS適合性評価制度や情報セキュリティ監査制度などが行われるようになり,それにはセキュリティポリシーの策定が前提になること
セキュリティポリシーを策定している企業は,次第に増加しています。
セキュリティポリシーを策定しない理由
逆に策定していない企業もあります。その理由は次の通りです。
このうち,「策定するための知識・ノウハウがない」については,後述します。「策定する予算がない」のは「情報セキュリティの重要性に対する認識がない」からでしょう。さらに中小企業では「必要性を感じない」「問題が生じる心配がない」が高いのですが,前者は,情報セキュリティは社会的責任だと認識していないようです。いかに中小企業であっても,これでは困ります。また後者は,性弱説の観点から見れば社員への裏切り行為だといえます。
基本方針の策定
本来,セキュリティポリシーは,その組織の特性(主要目的や組織の成熟度など)に合致した独自のものであるべきですが,白紙の状態から考えるよりもひな型を参考にするほうが,落とした個所も防げるし作業も容易です。
セキュリティポリシー策定企業が,ポリシー策定時に次のような資料を参考にしています。
このうち,総務省対策推進室「情報セキュリティポリシーに関するガイドライン」( http://www.bits.go.jp/taisaku/pdfs/ISP_Guideline.pdf)は,中央官庁を対象にしたものですが,民間企業でも十分に使えます。また,日本ネットワークセキュリティ協会は標準的なひな型として『情報セキュリティポリシーサンプル』(http://www.jnsa.org/policy/pdf/0029.pdf)を公開しています。なお, ISO/IEC17799, JIS X 5080およびISMSは,BS7799をベースとしたものなので,実質的には同じものであると考えてもよいでしょう。これについては後述します。
対策基準の策定
リスク分析により,「何を」「何から」「どのレベルで」守るのかが明確になりますので,次は「どのように」守るのか,すなわち,脆弱性を低下させるための具体的手段を策定することになります。それが対策基準です。次のような基準が多く作成されています。
「ウィルス対策基準」や「機密情報の取り扱い基準」などが多く作成されていますが,「教育」や「監視」「報告」など体制に関する分野が遅れています。未だ情報セキュリティに関する成熟度が低い段階にあるといえましょう。
ポリシーの実施状況
ポリシー策定済と作業中の企業に,セキュリティポリシーが実際に機能しているかどうかを聞いた結果です。
桶の理論で示したように,情報セキュリティ対策は全体のレベルを揃えることが必要です。「十分ではないが・・・」は,考えようによっては「機能していない」ともいえます。また,この種の調査結果としては異例のことですが,中小企業のほうが大企業よりも優れた結果になっています。中小企業のほうが経営者の方針が全社に伝わりやすいこと,中小企業でポリシーを策定しているのは,かなり認識の高いグループであろうことなどもその理由でしょうが,むしろ,ウィルス対策やハッカー対策をしていることだけをあげて「一部は機能している」としているのではないでしょうか。
PDCAサイクルのうち,CとAは継続的改善運動として重要なフェーズです。チェックが不十分だと思わぬところに欠陥があるのが発見できないし,環境変化により形骸化しているのを放置することになります。そのような状況では,成熟度が向上しないだけではなく,運動そのものが不活発になってしまいます。CとAを行うのがセキュリティ監査だが,まだ全般的に低調です。しかし,ISMS適合性認証制度や情報セキュリティ監査制度の発足・普及により,今後の発展が期待されます。
