セキュリティポリシーは運用してこそ意味がある

さまざまなWebサイトや書籍などにも書かれていることでが、セキュリティポリシーは策定するだけでは意味がなく、運用していくことにこそ意味がある。当然のことながら、運用しなければ以前の状態と変わりがないためだ。

運用が重要であるという意味は、もう1つある。それは、運用してみないと策定したセキュリティポリシーの抜け穴や、ミスなどがわかりにくいということである。

これは、セキュリティポリシーの内容がその企業のサービスや業務内容などの環境によって、大きく変化するからである。利用されているシステムやアプリケーションも異なる上、ネットワーク構成もそれぞれ違う。さらに勤務体系や建物の管理なども影響してくる。また、会社同じ名前の役職であってもその権限が微妙に異なることもある。そのため実際に運用してみないとわからないのである。

またセキュリティポリシー策定の段階で、このような企業の内情を完璧に理解していたとしても、運用後に業務にそぐわない点が出てくる。これは企業を取り巻くビジネス環境の変化や、企業の組織体系自体が変化するためである。さらに、企業のサービス自体が変化することもあり得る。

そのためセキュリティポリシーは策定後の運用が大きなポイントとなるのだ。本連載では、この策定後の運用段階にフォーカスしてセキュリティポリシー策定のポイントを解説する。その中でも「現場で陥りやすいよくある失敗例」にフォーカスする。また策定の際にも役立つように実際の事例から紹介していく。

ご登場いただくのはNTTデータ・セキュリティの茅野 耕治氏だ。これまでさまざまな企業のセキュリティポリシーを見てきた氏に、多くの人が陥りやすい共通の失敗点とその改善方法を解説していただく。

1月17日（木）公開の第2回では「セキュリティ推進担当側が陥り易いワナ」と題して、担当者と現場の意識の違いから起きた事例から、策定ポイントを紹介していこう。ぜひ楽しみにしていただきたい！ タイトルへ戻る