セキュリティポリシーとは

2008年1月の特集「セキュリティ最前線」の木曜日では、セキュリティポリシーを取り上げる。セキュリティポリシーとは、企業における情報セキュリティのさまざまな規則のことである。一方でセキュリティポリシーはWebサイトなどにおける個人情報の管理方針（プライバシーポリシー）の意味でも用いられることがある。本連載では、企業におけるセキュリティの規則という前提で進めていく。

なぜセキュリティポリシーを策定するのか

セキュリティポリシーがカバーする範囲は非常に広い。セキュリティポリシーのベースとなるのは企業の情報資産を守ることにある。企業には個人情報や数値などのデータとしての資産価値だけでなく、企業が提供するサービスなどの情報資産がある。これらの情報資産が盗まれたり、改ざんされたり、消去されたりなどした場合、企業が被る損害は非常に大きい。Webサービスを中心においている企業においては、なおさらであるといえる。

具体的な部分では、ウイルスなどの不正ファイルのダウンロードによる被害である。近年ではWebを介した不正プログラムなどが流行しており、Webの環境も以前とは異なっている。不正なWebサイトへ誘導するようなスパムメールや、不正なファイルをダウンロードさせるように誘導するWebサイトなど、その手口も巧妙化している。社内におけるWebサービスやインターネットの活用（例えばGoogleなど）が、業務に必要不可欠な要素になっている企業も増えているため、これまでになかったWebの活用におけるガイドライン、つまりセキュリティポリシーの策定が急務なのだ。

セキュリティポリシーとは

• 企業における情報セキュリティの規則

セキュリティポリシー策定の意味

• 企業の情報資産を守ること

また、リスク管理についてもセキュリティポリシーの範囲となる。具体的には、Webサーバやデータベースサーバなどのバックアップや復旧などである。Webサービスの提供をビジネスの核としているような企業においては、サーバの停止やデータの消失は企業の生死にも関わることはいうまでもない。一般的な企業においても、情報を電子データとして保管している場合も同様である。そのため、その手順や方法を明記しておく必要がある。

さらに建物への入退室の記録、鍵の施錠管理などの物理的な面もセキュリティポリシーで策定していく。近年では少なくなっているが、実際に建物に侵入して直接情報を入手する手法があった。実際に海外では社内のグループウェアが稼働しているサーバのハードディスクが物理的に盗まれた事例などがある。そのような事態を回避するためにも、セキュリティポリシーは策定する必要があろう（ハードディスクの盗難事例：勝ち組に学ぶ導入事例2007「第1回：災害に強いシステム構築〜LifeKeeperによるディザスタリカバリソリューション」）。

このようにセキュリティポリシーは広範囲にわたっており、策定には非常に多くの労力とコストがかかる。しかし、セキュリティポリシーの策定によって生まれるメリットも存在する。 次のページ