企業におけるセキュリティ運用とは何か（２）

○セキュリティポリシーはどのような構成になっているか

　セキュリティポリシーの内容について解説しよう。セキュリティポリシーとは、セキュリティについての方針や方策を明文化したものだ。通常、企業としての基本的な方針を示す「基本ポリシー」と、この基本ポリシーを実現するための規定にあたる「スタンダード」、そして「スタンダード」を実現するための手順を示した「プロシージャ」の三階層によって構成されている。（図1）

　　　　　　　　　　　　　セキュリティポリシーの策定・運用プロセス
┌────────┐　　　┌─────────────────────┐
│　　　　　　　　　　　　│　　　│　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　│
│　「基本ポリシー」　│　　　│┌──────────┐　　　　　　　　　　　　　 │
│　　　　　　　　　　 <<━━━━│　「基本ポリシー」作成　│　　　　　　　　　　　　　│
│　　　（方針書）　　　│　　　│└──────────┘　　　　　　　　　　　　　│
│　　　　　　　　　　　　│　　　│　　　　　　　　▼　　　　　　　　　　　　　　　　　　　　　　│
└────────┘　　　│┌──────────┐　　　　　　　　　　　　　│
　　　　　　　　　　　　　　　　　　││　　　　リスク分析　　　　 │<<━━┓　　　　　　　│
┌────────┐　　　│└──────────┘　　　　 ┃　　　　　　　│
│　　　　　　　　　　　　│　　　│　　　　　　　　▼　　　　　　　　　┌───────┐│
│　「スタンダード」　　│　　　│┌──────────┐ │見直し　　　　　　││
│　　　　　　　　　　 <<━━━━│　　「スタンダード」作成　│ │・リスクの変化　││
│　　　（基準書）　　　│　　　│└──────────┘ │・運用との　　　　││
│　　　　　　　　　　　　│　　　│　　　　　　　　▼　　　　　　　　　│　　ギャップ　　　││
└────────┘　　　│┌──────────┐ └───────┘│
　　　　　　　　　　　　　　　　　┏━│　「プロシージャ」作成　│　　　　│　┃　　　　　　│
┌────────┐　　┃│└──────────┘　　　 │　┃　　　　　　│
│　　　　　　　　　　　　│　　┃│　　　　　　　　▼　　　　　　　　　　　　│　┃　　　　　　│
│　「プロシージャ」　│　　┃│┌──────────┐　<<─┘ ┃　　　　　　│
│　　　　　　　　　　 <<━━┛││　　　　　運　用　　　　　│　　　　　　┃　　　　　　│
│　　　（手順書）　　　│　　　│└──────────┘<<━━━┛　　　　　　│
│　　　　　　　　　　　　│　　　│　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　│
└────────┘　　　└─────────────────────┘
（図1：セキュリティポリシー作成の手順）

　これらのうち、「スタンダード」と「プロシージャ」は、「リスク分析」の結果をもとに作成される。「リスク分析」とは、その組織において保護すべき情報資産（ハード、ソフト、データ、情報記録媒体、関連ドキュメントなど）を明らかにし、それらがどのような脅威（漏洩、改竄、消去、破壊、故障など）にさらされているか、そして、それらに対するリスク（危険度）がどの程度なのかを評価することである。

　セキュリティポリシーのうち「基本ポリシー」は、経営者のセキュリティに対する基本的な姿勢・概念を表明したものだ。したがって、「リスク分析」の結果を前提にしたものでも、リスクの変化やシステムの現状を反映して変化するものではないといえる。これに対して「スタンダード」と「プロシージャ」は、「リスク分析」というフィルターを通して、全社的なシステムの現状を反映して作成され、状況に合わせて見直されるものである。

　つまり、「スタンダード」と「プロシージャ」によって、システム管理者や運用者は、「なぜ、それが必要なのか」「具体的にどうすればいいのか」について、現状のシステムに即した包括的な「考え方のベース」を手に入れることが可能になるわけだ。

（執筆：吉澤亨史）

※本記事は、翔泳社発行の「セキュリティマガジン　4月号」に掲載されたものを元に、著者である京セラコミュニケーションシステム株式会社（ http://www.kccs.co.jp/ ）の郷間佳市郎氏および翔泳社の許諾を得てリライトしております。

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml