セキュリティポリシー

　組織がセキュリティ対策を実施する上で、事前に決定すべき規則。守るべき対象や担当者とその責任範囲、対応手順など。こうした規則に従ってセキュリティ製品の選定や設計を行う。

　セキュリティポリシーはユーザー、運用管理者、経営管理者との間で検討し承認される必要がある。また、法律的な立場からアドバイスを受ける必要もある。変更の手続きも事前に規定しておく必要がある。

ポリシーの種類

プライバシー

　電子メールの監視や各ユーザーのファイルへのアクセス権、Web閲覧の監視などについてプライバシーのあり方を定義する。

アクセス

　第三者、一般ユーザー、運用管理者、経営管理者などごとに、誰が何にアクセスできるかどうかを定義し、アクセス権限と特権を決める。

責任範囲/アカウンタビリティ

　ユーザー、運用管理者、経営管理者の責任を定義し、監査主体を特定して問題が起きた場合に対応するためのガイドラインを定義する。

認証

　パスワードの最低文字数や文字の種類、有効期限を定義したり、リモートアクセスをする場合の認証方法やワンタイムパスワード生成器などの認証デバイスの利用ガイドラインを定義する。

利用時間

　ユーザーにリソースが利用可能な期間・時間についての計画を示す。運用時間とメンテナンスのための期間を明らかにする。障害が起きた場合の連絡先情報、代理機能や復旧の方法を定義する。

違反報告

　報告すべきシステムポリシー違反の種類を定義したり、報告先、報告方法などを定義する。匿名での報告を許可することにより多くの報告が寄せられることが考えられる。

サポート情報

　ユーザー、運用管理者、経営管理者に対し、ポリシー違反の連絡先情報や質問に対する取り扱い、機密情報や知的財産権のある情報について定義する。さらに、セキュリティの手続きやセキュリティポリシーの上位ポリシーにあたる企業ポリシーや国の法律・規制のような関連情報の提供も定義する。

考慮すべきポイント

操作性とセキュリティ

　一般的にセキュリティを高めようとすると操作性は悪くなり、操作性を良くしようとするとセキュリティは低くなる。ユーザーの能力とシステム内の情報の価値を考慮して、セキュリティポリシーを決める。

サービスの提供とセキュリティ

　リモートアクセス用モデムなどを設置すると、第三者が侵入できる入り口を増やすことになる。ユーザーにサービスを提供することにより、システムとしてはセキュリティリスクを負うことになる。

セキュリティのコストと損失のリスク

　セキュリティ技術の導入にはコストがかかる。金銭的コストとしてはファイアウォール、アンチウィルスソフト、ワンタイムパスワード生成器、暗号化製品などハードウェアやソフトウェアの費用。さらに、管理者の学習・作業時間、操作手順の増加による時間、暗号化や復号化の処理時間などの時間的コストなども発生する。

　ウィルスやクラッキングにより情報を失った場合、情報自体が持っている価値、ハードウェアの復旧に伴う費用、システムダウンに伴う業務損益、企業イメージ低下に伴う損失などが考えられる。

セキュリティポリシーの運用

• 作成に必要時以上に時間をかけず、できるところからはじめる
• 全社的に浸透させるためには各部署合同で作成し、トップの承認を得る
• 運用体制(人、金など)についてもセキュリティポリシーに盛り込む
• ユーザーに知らせる努力を怠らない
• 「服務規程」などと同じレベルの守らなければならないものだということを理解させ、きちんとチェックを行う。厳しすぎる規定については見直すことも考慮する

⇒実践! 情報セキュリティポリシー運用

@IT

・地方自治体の情報セキュリティポリシー、47都道府県では100％策定

⇒IW 2004.9.10

・総務省、地方自治体の情報セキュリティポリシー策定状況を公開

⇒IW 2004.5.20

・シマンテック、ポリシー監査ソフトウェアの新バージョンを発売「Symantec Enterprise Security Manager 5.5.3 SR1」。ポリシーの遵守状況に対する監査を企業規模で実施

⇒IW 2003.11.18

・総務省、自治体のセキュリティポリシー策定状況を調査

⇒IW 2003.11.10

・CEATEC講演、「セキュリティポリシー策定には性善説を出発点にするべき」

⇒EW 2003.10.10

・セキュリティポリシーを強制適用可能な法人向けソリューション「Sygate Secure Enterprise」

⇒IW 2003.9.26

・NAC、企業向けセキュリティポリシー管理製品「ePO 3.0」を発売

⇒IW 2003.6.2

・SEの経験が活きたISMS認証取得のポイント

⇒@IT 2003.3.8

・日本型企業にポリシーの承認と運用を実践させるには

⇒@IT 2003.1.29

・BS7799などの認証取得をサポートするセキュリティーポリシー策定ソフト〜アズジェントが「M@gicPolicy スタートアップ」など2製品を発売

⇒IW 2002.10.24

・アズジェント、セキュリティーポリシー策定平準化ソフト「M@gicPolicy Ver.2.0」を発表

⇒A24 2002.1.22

・セキュリティポリシー策定　都道府県でわずか12.8％

⇒MI 2001.10.23

・事例で知る、セキュリティ・ポリシー失敗の仕方

⇒ITPro 2001.3.19 解説

・セキュリティ指針をユーザーに徹底するツール「ポリシーマネージャ日本語版」、日本エフ・セキュアが配付

⇒ITPro 2001.2.5

・11社がセキュリティーポリシーアシュアランスを設立 - アズジェント、オービック、KPMGビジネスアシュアランスなど

⇒IW 2000.6.5 ⇒BT 2000.6.2 ⇒A24 2000.6.2

・セキュリティ・ポリシを掲げる時代

⇒BT 2000.3.17 記者の眼

・「ポリシーに基づいたセキュリティー対策を」――CSEがセキュリティーセミナー

⇒A24 1999.11.29