失敗から学ぶセキュリティポリシー第1回

セキュリティポリシーは運用してこそ意味がある

さまざまなWebサイトや書籍などにも書かれていることでが、セキュリティポリシーは策定するだけでは意味がなく、運用していくことにこそ意味がある。当然のことながら、運用しなければ以前の状態と変わりがないためだ。

運用が重要であるという意味は、もう1つある。それは、運用してみないと策定したセキュリティポリシーの抜け穴や、ミスなどがわかりにくいということである。

これは、セキュリティポリシーの内容がその企業のサービスや業務内容などの環境によって、大きく変化するからである。利用されているシステムやアプリケーションも異なる上、ネットワーク構成もそれぞれ違う。さらに勤務体系や建物の管理なども影響してくる。また、会社同じ名前の役職であってもその権限が微妙に異なることもある。そのため実際に運用してみないとわからないのである。

運用してはじめてわかる抜け穴やミス
企業の環境によって策定内容は変わる
業務によって策定内容は変わる

ポイントは運用

またセキュリティポリシー策定の段階で、このような企業の内情を完璧に理解していたとしても、運用後に業務にそぐわない点が出てくる。これは企業を取り巻くビジネス環境の変化や、企業の組織体系自体が変化するためである。さらに、企業のサービス自体が変化することもあり得る。

そのためセキュリティポリシーは策定後の運用が大きなポイントとなるのだ。本連載では、この策定後の運用段階にフォーカスしてセキュリティポリシー策定のポイントを解説する。その中でも「現場で陥りやすいよくある失敗例」にフォーカスする。また策定の際にも役立つように実際の事例から紹介していく。

ご登場いただくのはNTTデータ・セキュリティの茅野耕治氏だ。これまでさまざまな企業のセキュリティポリシーを見てきた氏に、多くの人が陥りやすい共通の失敗点とその改善方法を解説していただく。

1月17日（木）公開の第2回では「セキュリティ推進担当側が陥り易いワナ」と題して、担当者と現場の意識の違いから起きた事例から、策定ポイントを紹介していこう。ぜひ楽しみにしていただきたい！

この記事をシェアしてください

セキュリティ推進担当側が陥り易いワナ

バックナンバー

この記事の筆者

Think IT編集部

“オープンソース技術の実践活用メディア” をスローガンに、インプレスグループが運営するエンジニアのための技術解説サイト。開発の現場で役立つノウハウ記事を毎日公開しています。

2004年の開設当初からOSS（オープンソースソフトウェア）に着目、近年は特にクラウドを取り巻く技術動向に注力し、ビジネスシーンでOSSを有効活用するための情報発信を続けています。クラウドネイティブ技術に特化したビジネスセミナー「CloudNative Days」や、Think ITと読者、著者の3者をつなぐコミュニティづくりのための勉強会「Think IT+α勉強会」、Web連載記事の書籍化など、Webサイトにとどまらない統合的なメディア展開に挑戦しています。

また、エンジニアの独立・起業、移住など多様化する「働き方」「学び方」「生き方」や「ITで社会課題を解決する」等をテーマに、世の中のさまざまな取り組みにも注目し、解説記事や取材記事も積極的に公開しています。

Think IT編集部のプロフィールを見る