セキュリティポリシーとは
2008年1月の特集「セキュリティ最前線」 の木曜日では、セキュリティポリシーを取り上げる。セキュリティポリシーとは、企業における情報セキュリティのさまざまな規則のことである。一方でセキュ リティポリシーはWebサイトなどにおける個人情報の管理方針(プライバシーポリシー)の意味でも用いられることがある。本連載では、企業におけるセキュ リティの規則という前提で進めていく。
なぜセキュリティポリシーを策定するのか
セキュリティポリシーがカバーする範囲は非常に広い。セキュリティポリシーのベースとなるのは企業の情報資産を守ることにある。企業には個人情 報や数値などのデータとしての資産価値だけでなく、企業が提供するサービスなどの情報資産がある。これらの情報資産が盗まれたり、改ざんされたり、消去さ れたりなどした場合、企業が被る損害は非常に大きい。Webサービスを中心においている企業においては、なおさらであるといえる。
具体的な部分では、ウイルスなどの不正ファイルのダウンロードによる被害である。近年ではWebを介した不正プログラムなどが流行しており、 Webの環境も以前とは異なっている。不正なWebサイトへ誘導するようなスパムメールや、不正なファイルをダウンロードさせるように誘導するWebサイ トなど、その手口も巧妙化している。社内におけるWebサービスやインターネットの活用(例えばGoogleなど)が、業務に必要不可欠な要素になってい る企業も増えているため、これまでになかったWebの活用におけるガイドライン、つまりセキュリティポリシーの策定が急務なのだ。
- セキュリティポリシーとは
-
- 企業における情報セキュリティの規則
- セキュリティポリシー策定の意味
-
- 企業の情報資産を守ること
また、リスク管理についてもセキュリティポリシーの範囲となる。具体的には、Webサーバやデータベースサーバなどのバックアップや復旧などで ある。Webサービスの提供をビジネスの核としているような企業においては、サーバの停止やデータの消失は企業の生死にも関わることはいうまでもない。一 般的な企業においても、情報を電子データとして保管している場合も同様である。そのため、その手順や方法を明記しておく必要がある。
さらに建物への入退室の記録、鍵の施錠管理などの物理的な面もセキュリティポリシーで策定していく。近年では少なくなっているが、実際に建物に 侵入して直接情報を入手する手法があった。実際に海外では社内のグループウェアが稼働しているサーバのハードディスクが物理的に盗まれた事例などがある。 そのような事態を回避するためにも、セキュリティポリシーは策定する必要があろう(ハードディスクの盗難事例:勝ち組に学ぶ導入事例2007「第1回:災害に強いシステム構築〜LifeKeeperによるディザスタリカバリソリューション」)。
このようにセキュリティポリシーは広範囲にわたっており、策定には非常に多くの労力とコストがかかる。しかし、セキュリティポリシーの策定によって生まれるメリットも存在する。
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
