ビジネスにおいてコンピュータを利用することが一般的となる中で、コンピュータ上で扱われる企業の情報資産を狙うサイバー攻撃が活発化しています。
企業活動において情報セキュリティ対策は切っても切り離せないものとなっており、業界・業種を問わず対応が必要です。
企業の情報セキュリティ対策の基本は、情報セキュリティポリシーを定めることから始まります。
この記事では、企業価値を高めるための情報セキュリティポリシーというタイトルで、情報セキュリティ対策の基本について解説します。
企業活動における情報セキュリティ対策の重要性
企業の情報資産を狙うサイバー攻撃は増加の一途をたどっています。
総務省が分析したサイバー攻撃の最近の動向に関する資料においては、2016年から2019年にかけて、サイバー攻撃の件数が2.6倍になったという報告もあります。
現代においては、あらゆる企業がサイバー攻撃の対象となっていると考えるべきです。
今のところ被害を受けていなかったとしても、セキュリティ対策が甘ければ今後も被害を受けないという保証はどこにもありません。
サイバー攻撃は、企業活動におけるリスクとなります。
サイバー攻撃を受けてしまうと、コンピュータ上で扱う金銭的資産や情報資産の流出はもちろんのこと、個人情報の流出による評判の低下や損害賠償リスク、取引先に間接的に被害を与えてしまうことによる信用の失墜など、様々な面で実害が発生することになります。
情報セキュリティポリシー
企業におけるセキュリティ対策は、情報セキュリティポリシーを定めることから始まります。
以下では、情報セキュリティポリシーについて解説します。
情報セキュリティポリシーとは
情報セキュリティポリシーとは、企業の情報セキュリティ対策方針や行動指針を定めたものです。
情報セキュリティポリシーは情報セキュリティ対策における「憲法」のようなもので、情報セキュリティ対策に関する社内規則の整備方針や対策の考え方、情報セキュリティを確保するための体制や対策基準などを記載するものとなります。
情報セキュリティポリシーとして定めるべき内容
情報セキュリティポリシーは、上述の通り自社の情報セキュリティ対策の方針を定めるものです。
具体的には以下のような内容を記載します。
- 基本方針:企業の代表者の名義で「情報セキュリティ対策が必要である理由」や「情報セキュリティ対策の考え方」、「顧客情報の取り扱い方」などを宣言します。
- 対策基準:情報セキュリティ対策の指針として、自社が行う対策を記述します。
例えば、対策を行う対象を不正アクセス、ウイルス、内部不正などと定め、その対策として組織の整備や情報システムへの対策、物理的・人的セキュリティ対策を実施するなどと定義します。 - 実施手順:各対策基準に対して実施する情報セキュリティ対策の内容を簡潔に記載します。
例えば、情報システムへのセキュリティ対策であればシステム調達時にセキュリティチェックを義務づけることを記載したり、物理的セキュリティ対策であれば、自社オフィス内は入館証により入館管理を行ったりといった内容となります。
情報セキュリティポリシーを定めるメリット
情報セキュリティポリシーを定めることにはどのようなメリットがあるのでしょうか。
まず、企業の情報セキュリティ対策の基本として、情報セキュリティ対策にブレが生じないようにできるというのがメリットです。
実務を行う担当者により情報セキュリティ対策基準が異なってしまうと、対策が甘い領域から攻撃を受けてしまう可能性があり、自社の対策を一定水準まで引き上げるためにも情報セキュリティポリシーの策定が必要となります。
また、先進的な企業では情報セキュリティポリシーを自社Webサイトなどに公開し、セキュリティへの取り組みについて対外的にアピールを行う活動をしています。
取引先からみても、情報セキュリティ対策が実施できていない企業との取引はリスクとなります。
よって、情報セキュリティポリシーを制定し外部に公開することは、企業価値を高めることにもつながります。
情報セキュリティ対策として実施すべき事項
以下では、情報セキュリティポリシーに基づき、どのような情報セキュリティ対策を実施していくかについて解説します。
情報セキュリティ組織の設置
まず必要なのは、情報セキュリティ組織の設置です。
情報セキュリティポリシーでは、必ず組織の設置について定めます。
一般的には「情報セキュリティ委員会」と呼ばれる組織を設置し、自社のセキュリティ対策を統括させます。
情報セキュリティ委員会の委員長は、社長自ら、もしくは自社のシステム担当役員クラスを任命することが一般的です。
情報セキュリティ対策を自社の重要な取り組みとして位置づけるために、委員長には少なくとも自社の幹部を任命するべきです。
情報セキュリティ委員会では定期的に会議を開催し、自社の情報セキュリティ対策状況の進捗状況を確認し、必要に応じて担当者に改善を指示します。
また、今後の対策方針を確認し、対策内容が十分なものであるかを確認・承認します。
情報セキュリティ教育の実施
現代のサイバー攻撃の多くは、「人間」を狙ったものです。
IT技術の高度化によりシステム的なセキュリティ対策レベルは向上しましたが、一方でどうしても対策がしにくいのが人間的な部分です。
例えば不審なメールを安易に開いてしまったり、危険なWebサイトへアクセスしてしまったりして、サイバー攻撃の被害を受けるような事例が多く発生しています。
従業員のセキュリティ意識を高めるために有効なのが、従業員に対する情報セキュリティ教育の実施です。
定期的にセキュリティに関する研修を実施し、従業員のスキルを上げる取り組みをするとよいでしょう。
情報セキュリティ関連規程の作成
さらに、情報セキュリティ関連規程類を作成し、従業員に順守させます。
情報セキュリティに関する規程では、ITシステムを利用する際に守らなければならないルールや、ITシステムを導入するにあたってやるべきことなどを定めます。
例えば、PCを許可なく持ち出すことや、PCに不要なアプリをインストールするなどを禁止するようなルールを定めます。
これらのルールは、上述した情報セキュリティ教育の中でも紹介するなど従業員に周知し、順守の徹底を図ります。
事故・トラブル発生時の対応
万が一セキュリティ事故が発生してしまった場合の対応方法についても予め定めておくべきです。
セキュリティ事故の対応は時間との勝負となります。
時間がたつほど被害は拡大し、被害の証拠も残りづらくなります。
よって、セキュリティ事故を検知する方法や、検知してから経営層に報告する流れの定義、事故対応に当たる組織やそのリーダーなどについてあらかじめ定めておきます。
迅速な対応ができるように、事故対応方法については詳細にマニュアル化しておくことをおすすめします。
まとめ
この記事では、情報セキュリティポリシーの解説に加えて、情報セキュリティポリシーをベースとした企業のセキュリティ対策について解説しました。
サイバー攻撃の被害が広まる中で、企業活動においてセキュリティ対策と無縁でいることは難しくなりました。
これを機会に、自社のセキュリティ対策状況を見直してみることをおすすめします。