情報セキュリティポリシーに関するガイドラインで最低限守っておくべきポイントとは

INDEX

    官公庁や公的機関が示すガイドラインは企業や組織における最低限守るべき事柄が集められたものです。
    中でも「情報セキュリティポリシーに関するガイドライン」は情報資産をリスクや脅威から守るために必要なことが示されており、最低限守っておくべきポイントがいくつかあります。
    今回は情報セキュリティポリシーに関するガイドラインとは何か、そして情報セキュリティポリシーで最低限守っておくべきポイントについてお話します。


    情報セキュリティポリシーに関するガイドラインとは何か

    はじめに情報セキュリティポリシーに関するガイドラインについて簡単に説明します。

    情報セキュリティポリシーとは

    情報セキュリティポリシーとは「情報の機密性や完全性、可用性を維持していくために規定する組織の方針や行動指針をまとめたもの」として総務省で定義されています。

    ・情報の機密性 - アクセスを認可されたものだけが、確実にアクセスできること
    ・情報の完全性 - 情報や情報の処理が正確で完全な状態を安全に保つこと
    ・情報の可用性 - 認可されたものが必要な時に確実にアクセスできるようにすること

    上記は情報の機密性・完全性・可用性をざっくりと説明したものです。例えば、機密性が確保されなければ、誰にでもアクセス可能な状態と言えます。同じく完全性が確保されなければ、正しい情報なのかどうか判断することができません。そして可用性が確保されなければ、必要な時に必要な情報を取り出せなくなってしまいます。

    情報セキュリティポリシーの必要性

    情報セキュリティポリシーの必要性は「企業や組織の活動において安心・安全に情報を利用するため」と言えます。前項で説明した通りに機密性・完全性・可用性が確保されなければ、正しく企業活動を行うことはできません。
    もし、情報が誰にでもアクセス可能であれば情報漏洩につながりますし、アクセス可能かつ編集や操作可能なら、データの改ざんや書き換え、削除などの恐れがあります。同時に必要な時に情報を取り出せなければ、業務や作業をスムーズに進めることは難しくなるでしょう。
    これらのことから、情報セキュリティポリシーは企業や組織として安心・安全に活動するための骨格となる部分と言えます。

    内部不正、サイバー攻撃、情報漏洩やデータの改ざんなどのリスクおよび脅威

    情報セキュリティポリシーは企業や組織として安心・安全に活動するための骨格であると同時に、内部不正・サイバー攻撃・情報漏洩・データの改ざんなどのリスクおよび脅威から身を守るためにも必要です。
    昨今では情報の漏洩や流出といったニュースを目にすることも増えており、かつ顧客情報を活用する形でのオンラインサービスも進化していることから、インターネットを経由したリスクや脅威は他人事ではありません。同様に企業や組織内部の人間による不正・情報漏洩や流出のリスクについても対策する必要があり、セキュリティ強化をするためにも情報セキュリティポリシーによる基礎が必要となるのです。

    情報資産という考え方について

    情報資産とは、企業や組織において生じるデータを指します。顧客情報や機密情報の他、社内や組織内でのみ必要とする情報など全般が情報資産と言えます。
    サイバー攻撃を行うような悪意のある第三者、企業や組織に属する人間でありながら自己の利益のために内部不正を行うような人から情報資産を守る必要があり、そのためにも情報セキュリティポリシーに基づいてセキュリティ対策を継続的に行わなくてはなりません。
    困ったことにサイバー攻撃や内部不正の手口は日々変化をし続けており、いわゆるいたちごっこのような状況に陥っています。新しい手口を防ぎつつ、未知の脅威やリスクに対抗しなくては情報資産を守ることができないということです。

    物理的セキュリティと技術的セキュリティ

    情報セキュリティポリシーの策定・導入・運用・評価・改善という流れを構築するとともに、物理的セキュリティと技術的セキュリティの両面によるセキュリティ対策が必要となります。
    企業や組織において、必ずしもすべてがペーパーレス化、電子化、データ化されたものだけが情報とは限らないことを考えると、紙ベースの帳票については物理的なセキュリティが必要です。
    逆にペーパーレス化や電子化、データ化された情報資産であれば、技術的セキュリティを強化し、かつ機密性・完全性・可用性を確保、保持しながら業務を行うことが求められます。
    これらのことから、情報セキュリティポリシーに関するガイドラインを参考にしつつ、企業や組織として最低限守っておくべきポイントを押さえて、社内規則やルールの制定、周知徹底とともに、情報資産を守るためのセキュリティ対策を行うことは必須と言えます。

    dan-nelson-EhbuqJYNCRk-unsplash.jpg

    情報セキュリティポリシーで最低限守っておくべきポイント

    次に情報セキュリティポリシーで最低限守っておくべきポイントについて解説します。

    企業や組織における情報資産を調査・把握・可視化する

    まずは紙ベースおよびデータ化されたものを区別せず、情報資産を調査し、把握すること、可視化することから始めましょう。企業活動で生じる情報、必要とする情報を把握できなければ管理できないからです。物理的にも技術的にもセキュリティ対策を行うためには「対象」を明確にする必要があります。

    情報資産を扱う業務の調査・把握・可視化する

    次の段階として情報資産を扱う業務を調査し、把握しましょう。どの部署・部門の誰が、どのような業務で情報資産を扱うのか、同じく情報が発生する箇所、情報を必要とする箇所を可視化するということです。この場合もセキュリティ対策を行う箇所を絞り込むために必須であり、同時に情報資産を適切に必要な時に「安心・安全」に利用するためにも必要な段階と言えます。

    情報資産へのアクセス・閲覧・編集に権限を割り当てる

    次の段階として業務に支障が出ないよう調整しつつ、情報資産へのアクセス権限を部署や部門、役職や担当ごとに割り当てます。必要とする情報資産へのアクセスは認可・許可して、必要でない情報資産にアクセスさせないように調整することを意識しましょう。同時に情報資産へのアクセスや閲覧、編集や削除などのログの他、PC操作ログの取得や監視も力を入れることをおすすめします。

    すべての情報資産に対し、アクセス制御を適用する

    すべての情報資産に対し、アクセス制御を適用することが大切です。これらは電子的なデータだけでなく、紙ベースの帳票に記載されている情報についても同様であり、誰にでも閲覧や編集ができるような状況にしないことも忘れないようにしましょう。また、許可していないデバイスから情報資産およびネットワークにアクセスさせないこと、USBメモリや外付け外部記憶装置の持ち込みや接続をさせないことも重要ですので、ソフトウェアとハードウェアの両方のアクセス制御を意識してみてください。

    脅威やリスクごとのセキュリティ対策も忘れない

    情報資産やネットワーク、デバイスなどのアクセス制御の他、サイバー攻撃やマルウェア、フィッシングサイトや不正サイトへのアクセスなど、脅威やリスクごとのセキュリティ対策も忘れないでください。悪意のある第三者は常に新しい手口や手法を編み出してくるだけでなく、既存の古い手口や手法を重ねて攻撃してくることを想定し、PDCAサイクルを意識したセキュリティ対策を行うことが大切です。


    まとめ:情報資産をシステム的に守る仕組み・対策を導入しよう!

    今回は情報セキュリティポリシーに関するガイドラインとは何か、そして情報セキュリティポリシーで最低限守っておくべきポイントについてお話しました。
    現代において情報資産はデータ化・電子化されており、外部からのサイバー攻撃、もしくは内部での不正や情報漏洩などのリスクや脅威への対策は欠かせません。情報セキュリティポリシーに関するガイドラインを理解し、具体的かつ効果のある対策を行わねばならないということです。
    当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、情報セキュリティポリシーに関するガイドラインで最低限守っておくべきポイントへの対策が可能です。セキュリティに関する不安や悩みに合わせて、セキュリティの強化を行うことができますので、ぜひともこの機会にご相談、お問い合わせください。

    お役立ち資料を
    まとめてダウンロード!
    IT資産管理やセキュリティに関するお役立ち資料を、
    ダウンロードいただけます!
    今すぐ資料ダウンロード

    人気ランキング


    開催イベント

    • アーカイブ配信

      8/20(金)~12/31(金)

      テレワーク対策実情と今、
      必要な解とは?

      運用支援

    • オンライン配信

      9/30(木)10:30~11:30

      AssetView 活用セミナー
      ~Windows更新管理編(P)~

      運用支援

    • オンライン配信

      9/30(木)14:30~15:30

      AssetView 活用セミナー
      ~アプリケーション配布編(D)~

      運用支援

    オススメのプロダクト

    • AssetsView
      IT資産管理ソフトウェア
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT資産管理ソフトウェア
    • ホットプロファイル
      名刺管理、営業支援ツール
      多忙な営業現場でも継続できる、
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト