【第1回「セキュリティポリシーの背景と構築」】（大塚商会）

1.インターネットの普及とセキュリティポリシーの必要性

　インターネットの急速な普及は、電子商取引など新しいビジネスチャンスを生み出し、今後更なる発展が期待されている。しかしその一方で、ウイルス感染、プライバシー情報の漏洩、ホームページの改ざん、不正中継など、セキュリティに関する脅威が高まっている。今年に入ってからは、日本の中央省庁ホームページが相次いで改ざんされた事件や、米国の複数の有名サイトが攻撃を受けたニュースなどが話題になり、攻撃の手法も次第に高度なものへと変化してきている。企業の重要な資産である「情報」を守るために、インターネット環境の運用におけるセキュリティ強化の対策は必要不可欠な条件となってきている。

　セキュリティ強化の対策は、技術・運用面ではファイアウォール設置、サービス制限、ログ監視、ウイルス対策などが代表的な例だと言えよう。しかし、セキュリティの脅威は外部からの侵入や攻撃だけではない。企業内部からの顧客情報の漏洩や、ウイルスに感染したファイルをメールで誤って送信してしまうなどの人的要因による被害は、企業の内外で起こり得るものであり、ハードウェア、ソフトウェアといったセキュリティツールだけで対処できるものではない。企業全体のセキュリティを高め、企業の重要な情報資産、社員の情報、顧客情報などを守るためには、いかにセキュリティ強度を維持し続けるか、そのために社員の意識をどのように高めるか、という管理統制面の対策が重要である。この鍵を握るのがセキュリティポリシーである。

2.セキュリティポリシーの構築過程

　セキュリティポリシーは、企業がセキュリティ上保護する対象範囲、目的、責任と権限、対策手段、および管理運営方法についての方針を明文化したものである。企業のゴールや目的、信条、倫理、社員の責任や義務などを明示した、強制力のある「命令」として位置づけることができる。企業は、セキュリティポリシーを明確にすることで、情報セキュリティに対する社員の意識を統一し、目的に見合う適切な人・物・金の配分、システム構築、セキュリティ技術の利用、更には障害が発生した際の適切な対応などの実現が可能になる。
　セキュリティポリシーの作成は、およそ以下の手順を踏む。
(1) セキュリティポリシーの適用範囲の決定とリスク分析
(2) セキュリティポリシーのドキュメント化と表明
(3) セキュリティポリシー運用の企業内体制作り

((株)大塚商会 ITコンサルタントグループ)
α-Secure Homepage：
http://Tech.otsuka-shokai.co.jp/a_secure/

（詳しくはScan本誌をご覧下さい。）