【情報Ⅰ#36】情報セキュリティポリシーとは?わかりやすく解説|高校授業_情報1・共通テスト対策【用語解説・授業動画】

  • 前回はソーシャルエンジニアリングについて、解説しました。
    ソーシャルエンジニアリングとは、人の心のスキを狙ったサイバー攻撃です。
    ソーシャルエンジニアリングにより情報が漏洩する原因のほとんどが、重要情報を預かる人のセキュリティ意識の低さとなっていることからも、知識武装しておくことが重要という話もしました。
    本日は、ソーシャルエンジニアリングを含め、様々なサイバー攻撃に対応するための指針である情報セキュリティポリシーについて、詳しく解説していきます。

①情報セキュリティポリシーとは

  • まず、サイバー攻撃を防ぐためには、重要情報を預かる人のセキュリティ意識を高めることがとても重要です。
    ただし、セキュリティに対する考え方はそれぞれ異なり、意識が高い人もいれば、低い人も当然います。
    社員が1000人いたとして、そのうち999人の意識が高くても意識の低いたった1人が情報を守れなかった場合には、個人ではなく会社に責任が及ぶこととなります。
  • なんでこの例えでぼくが使われるの・・・
  • そのため、重要情報をどのように扱うかを組織全体で取り決める必要があります。
    例えば、docomo、au、SoftBankなどの大手携帯電話会社では、数千万人の携帯電話番号をはじめとする氏名、住所などの個人情報を預かっていて、顧客からの問い合わせに対応しています。
    引っ越しをして住所が変わる、利用料金を知りたいといったお客さまからの問い合わせに対して、住所や生年月日などにより本人確認を行ってから、情報変更します。
    これは、「電話での問い合わせの場合には、住所及び生年月日により、本人確認を行った上で対応すること」という会社全体での取り決めがあるからです。

    その他にも
    ・ウイルス対策ソフトを全部のパソコンに入れる
    ・サーバールームには入退出記録を付けて、生体認証を導入する
    ・個人情報が掲載された用紙は全てシュレッダーにて破棄する
    といったルールを決めておきます。

②情報セキュリティポリシーの3階層

  • 情報セキュリティポリシーは、一般的に「基本方針」「対策基準」「実施手順」の3階層で構成されています。
    まず、基本方針では、経営者がセキュリティの最高責任者として、情報セキュリティに真剣に取り組むという姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言します。
    具体的には、この後の対策基準や実施手順の基本的な考え方を示すものとなります。
    なぜ情報セキュリティポリシーが必要なのか、どのような方針で対策を取るのかなどの理念を記載します。
    ここで、大切なのは経営者である社長自らが情報セキュリティの最高責任者となるということです。
  • この社長の例えをぼくにしてほしかったよ。。
  • コンピュータのことは分からないから、部下に全部任せているという社長もいますが、いまや企業にとって情報は会社の存続を左右するくらいの重要度を持っていますので、組織が一丸となって情報を守るためには、社長が先頭に立って方針を示していかないといけないということですね。
    次に、対策基準では、基本方針を実現するために、どんなセキュリティ対策を実施する必要があるのかを示すものです。
    情報セキュリティ対策の項目やルールなどをまとめます。
    いわゆるガイドラインですね。
    最後の実施手順は、対策基準で示された内容を、具体的にどんな手順で実行していくのかを示すものです。
    いわば、情報セキュリティ対策の実施マニュアルです。
    先程の携帯電話会社の例で例えると、
    基本方針「お客様の個人情報については決して漏らすことがないような仕組みとルールを決めて守ること」
    対策基準「個人情報に関するお客様からの問い合わせについては、お客様本人かどうかを必ず確認する」
    実施手順「電話の場合は住所及び生年月日により本人確認し、来店の場合には免許証などの証明書によって本人確認する」
    このように、「基本方針」→「対策基準」→「実施手順」と進んでいくごとにやり方が具体的になっているのが分かるかと思います。

③情報セキュリティポリシーのポイント

  • そもそも情報セキュリティポリシーを作る目的は、企業の情報資産を守り、従業員のセキュリティ意識を高めることにあります。
    しかしながら、会社によっては、情報セキュリティポリシーはあるものの内容を理解していない従業員がいたり、経営層が作っただけで満足してしまっていたり、そもそも存在自体を知らないといったパターンもあります。
    このように、せっかく情報セキュリティポリシーを掲げても、お飾りの状態では意味がなく、正しく継続的に運用し続けることがとても重要です。
  • じゃあ、どうしたらいいの?
  • ポイントをいくつか挙げておきましょう。

1.経営陣が先頭に立って進める

  • 先程も少し触れましたが、情報セキュリティの大切さを会社の上層部である経営陣が率先して示すことが重要です。
    情報資産は会社全体で守っていく必要があります。会社全体に浸透させるためには、経営陣の意思が非常に重要だからです。
    そして、目標とするセキュリティレベルを達成するために、守るべき行為及び様々な判断についての考え方を具体化することが重要です。

2.全ての従業員(パート含む)及び関連する外部関係者に周知

  • 情報セキュリティポリシーは一部の社員だけでなく、情報を預かる全ての人に周知しておかなければなりません。
    昔とある場所に勤めていた学生アルバイトの子が、芸能人カップルがその場所を利用したことを、SNSにアップしてしまったそうです。
    これは、情報セキュリティポリシーがアルバイトの子にまで浸透していなかったことにより発生した、情報漏洩と言えるでしょう。
    また、社内だけでなく、仕事を手伝ってくれる関連会社などの、外部関係者にも周知しておくことも大事です。

3.PDCAサイクルで改善していく

  • PDCAは以前の動画で詳しく説明しましたね。
  • 忘れた人はPDCAサイクルの動画で復習してね!
  • 「Plan」「Do」「Check」「Act」の頭文字であり、それぞれ「計画」「実行」「評価」「改善」を意味します。
    この4段階を、この順序で繰り返していくことで継続的な改善を図ろう、というわけです。
    情報セキュリティポリシーは、一度策定すれば完成するものではありません。
    初めて策定する段階で完全なセキュリティポリシーを作ることは極めて困難だからです。
    またIT技術の進歩や法改正、社内体制の変化などにともない、内容を改変する必要に迫られることもあります。
    したがって情報セキュリティポリシーは、継続的に手を加えてよりよいものを目指すことが望ましいでしょう。

まとめ

  1. 組織全体で、情報の安全を守るための方針やルールのことを情報セキュリティポリシーと呼ぶ。
  2. 情報セキュリティポリシーは、一般的に「基本方針」「対策基準」「実施手順」の3階層からなる。
  3. 情報セキュリティポリシーの基本方針においては、社長などの経営トップが率先して作成することが重要。
  4. 情報セキュリティポリシーは、一部の社員だけでなく、情報を預かる全ての人に周知しておかなければならない。
  5. 情報セキュリティポリシーはPDCAサイクルを回して、常に社会情勢やIT技術の進歩などに合わせて改善していくことが大事。