// シス担のミカタ
セキュリティの基本概念

セキュリティポリシー せきゅりてぃぽりしー

情報セキュリティセキュリティ規程リスク管理ISMSアクセス制御内部統制
セキュリティポリシーについて教えて

簡単に言うとこんな感じ!

会社の「情報の守り方ルールブック」だよ!「パスワードは○文字以上」「私物PCは社内ネットに繋げちゃダメ」みたいな、情報を守るための約束事を一冊にまとめたものなんだ。これがあると全員が同じルールで動けるってこと!

セキュリティポリシーとは

セキュリティポリシーとは、組織が保有する情報資産をどのように守るかを定めた「方針・規則の体系」のことです。「何を守るか」「誰が何をしてよいか/してはいけないか」「問題が起きたらどう対応するか」といったことを文書化したものです。

会社でいえば「就業規則」に相当するイメージです。就業規則がなければ社員ごとに勤務ルールがバラバラになるように、セキュリティポリシーがなければ情報の扱い方が人によってまちまちになり、情報漏洩や不正アクセスのリスクが高まります。

近年は個人情報保護法の強化や取引先からのセキュリティ審査など、外部からの要請でセキュリティポリシーの整備が求められる場面も増えています。「作るのは大企業だけ」という時代ではなく、中小企業でも整備が急務になっています。

セキュリティポリシーの3層構造

セキュリティポリシーは、一般的に「基本方針 → 対策基準 → 実施手順」の3層で構成されます。

名称内容
第1層基本方針(ポリシー)経営トップが示す「なぜ・何を守るか」の宣言「当社は情報資産を適切に管理し、顧客の信頼に応える」
第2層対策基準(スタンダード)基本方針を実現するための具体的ルール「パスワードは8文字以上・英数字混在とする」
第3層実施手順(プロシージャ)現場担当者が実際に行う操作手順「パスワード変更の操作手順書」
第1層:基本方針(ポリシー) 経営トップが宣言する「守る意志」 / 対外的にも公開されることが多い 第2層:対策基準(スタンダード) 部門・システムごとの具体的ルール / 社内限定 第3層:実施手順(プロシージャ) 担当者が実際に行う操作手順書

覚え方:「方・基・手」(ほう・き・て)

針→準→順」を「ほうきて(箒手)」と覚えましょう。箒で掃除するように、上から下へ順番に「掃いていく」イメージです。

セキュリティポリシーに盛り込む主な領域

  • アクセス制御:誰がどのシステム・データにアクセスできるか
  • パスワード管理:文字数・複雑さ・変更頻度のルール
  • 端末・デバイス管理:私物PCスマホの扱い、紛失時の対応
  • 外部委託管理:取引先・ベンダーへの情報提供ルール
  • インシデント対応:事故が起きたときの報告・対処フロー
  • 物理的セキュリティ:入退室管理、書類の施錠保管

歴史と背景

  • 1990年代前半:インターネットの商用利用が始まり、企業が外部と接続するリスクが顕在化。大企業を中心にセキュリティポリシー策定の動きが始まる
  • 1995年:英国規格協会が BS 7799情報セキュリティ管理の実践規範)を発行。セキュリティポリシーの国際的な枠組みの原型となる
  • 2000年:BS 7799をベースにした ISO/IEC 17799 が国際標準として発行。グローバルな共通言語が生まれる
  • 2005年ISO/IEC 27001(ISMS認証規格)が制定。セキュリティポリシー整備がISMS取得の必須条件となり、中堅企業にも普及が加速
  • 2003年〜:日本で 個人情報保護法 が施行(2005年全面施行)。企業にセキュリティポリシー整備が事実上義務化される流れに
  • 2015年〜:マイナンバー制度・GDPR(EU一般データ保護規則)など法規制が強化。サプライチェーン全体でのポリシー整備が求められるようになる

ISMSとセキュリティポリシーの関係

ISMS(情報セキュリティマネジメントシステム) とは、セキュリティポリシーを組織全体で「作って・動かして・改善し続ける」仕組みのことです。セキュリティポリシーが「ルールブック」なら、ISMSはそのルールブックを正しく運用し続けるための「マネジメントの枠組み」です。

ISMS(情報セキュリティマネジメントシステム) セキュリティポリシー (方針・基準・手順) リスクアセスメント (脅威・脆弱性の評価) 内部監査・見直し (PDCAサイクル) 教育・訓練 (社員への周知徹底)
比較軸セキュリティポリシー単体ISMS(ISO 27001)
目的ルールの明文化ルールを継続的に運用・改善する仕組み
対象文書組織全体のプロセス
認証なし第三者認証(取得可能)
向いている場面まず整備したい取引先・官公庁への信頼証明

関連する規格・RFC

規格・番号内容
ISO/IEC 27001ISMSの要求事項を定めた国際標準。セキュリティポリシー整備が認証取得の前提
ISO/IEC 27002セキュリティ管理策の実践ガイドライン(対策基準の参考になる)
NIST SP 800-53米国標準技術研究所によるセキュリティ管理策カタログ。政府系システムや大企業で参照される
個人情報保護法(日本)個人情報を扱う事業者にセキュリティ管理措置を義務づける国内法
GDPREUの個人データ保護規則。EU圏と取引する企業はポリシーの対応が必須

関連用語

  • ISMS — 情報セキュリティを組織的に管理・運用するための仕組み。セキュリティポリシーを「動かし続ける」枠組み
  • リスクアセスメント — 情報資産への脅威・脆弱性を評価するプロセス。ポリシー策定の土台となる
  • アクセス制御 — 誰がどのデータ・システムにアクセスできるかを制限する仕組み。ポリシーの中核的なルール
  • インシデント対応 — セキュリティ事故が発生した際の対処手順。セキュリティポリシーに必ず含まれる項目
  • 内部統制 — 組