現場が抜け道を探さないポリシーの作り方：特集：セキュアなドキュメント流通を目指して（2）（1/2 ページ）

前回は、情報漏えい対策を行う前にまずリスク分析をして自社の弱点を見極め、コストやリソースを考慮したうえでポリシーを策定するべきだと説明した。今回はポリシー策定について説明する。（→記事要約へ）

[大津心，＠IT]

　前回は、情報漏えい対策を行う前にまずリスク分析をして自社の弱点を見極め、さらにコスト面を考慮したうえで、「予防的統制」と「発見的統制」のバランスを取ることが重要だと説明した。今回はリスク分析を行ったうえで、どのようにポリシー設定していくかを考える。

　その前に、現在＠IT情報マネジメント編集部が実施しているアンケートの中間報告が届いたので、その傾向をお知らせしたい。

情報漏えい対策上の課題トップは「業務効率の低下」

　おかげさまで、アンケートは現在300名以上の回答が寄せられている。業種別では「SI／ITコンサルティング」が1番多く、「製造業（IT関連以外）」「ソフトウェア受託開発業」と続いた。回答者の役割では「構築／管理を行うITスタッフ」が多く、ユーザーなどが続いた。

　現在の「ドキュメント活用状況」では、「サーバなどにドキュメントを置いて情報共有」が91.2％で、2番目に多い「ドキュメントを電子メールに添付し、送受信」（69.4％）とともに、企業内で広く実施されていることが分かった。

　一方、ドキュメント流通するうえで懸念しているリスクは、「機器の紛失／盗難による情報漏えい」が最も多く63.0％、「操作ミスによる情報漏えい」が53.3％、「Doc共有／再利用できる環境の構築」が50.0％と続き、“利用者が意図しないで漏えいする事態”を懸念しているケースが多かった。

　リスクへの具体的な対策では、「IDとパスワードによる個人認証」が最も多く76.7％。「情報セキュリティポリシーの策定」は68.5％だった。この数値を逆にとらえると、3割強の企業がまだセキュリティポリシーを策定していないことが分かる。他方で、「シンクライアント／ディスクレスPCの導入」が9.1％あり、着実にシンクライアントも普及し始めてきているようだ。

　これらの情報漏えい対策を行ううえでの課題は、「セキュリティによる業務効率の低下」が最も多く53.0％、「従業員のセキュリティ意識が希薄」の37.0％、「セキュリティ投資対効果が不明瞭」の34.2％と続いた。この結果から、情報漏えい対策の課題として「業務効率の低下」がトップ課題になっていることが分かった。

　セキュリティのために許容できる業務効率低下度合いについては、「?10％程度」が55.8％で1番多く、「許容できない」の15.8％、「?30％程度」の11.2％と続いた。

　今回は中間結果なので詳細な分析は避けるが、最も特徴的だったのは、セキュリティによる業務効率の低下を懸念し、セキュリティによる業務効率低下は10％までと考えている企業が半数以上に上った点だ。“10％”という数値は、想像よりも低いイメージを抱くのではないだろうか。この数字は「セキュリティによる業務効率低下はほとんど許容できない」とも受け取れる。

　一方で、情報漏えい事故が多発していることで、情報漏えい対策が「性善説」から「性悪説」へ移りつつある。それにより、予防的統制を実現するためのさまざまなセキュリティツールを導入しようという動きが強くなっている。しかし、上記の調査結果のように、現場のユーザーはセキュリティによる業務効率の低下を10％しか許容していない。今後は、「この両者のギャップをどう埋めていくか？」が大きな課題になるだろう。

セキュリティポリシーは大方針、ガイドライン・手順書で詳細を示す

　調査では、ポリシー策定済みの企業は68.5％だった。この68.5％の中には前回説明した「リスク分析をきちんと行ったうえでポリシー策定を行っている企業」から、「取りあえず策定しただけで実際の運用に至っていない企業」まで、さまざまなレベルの企業が存在するだろう。また、それ以前に「セキュリティポリシーを策定していない企業」も31.5％存在している点も見逃せない。

　では、実際にどのようにセキュリティポリシーを策定し、情報漏えい対策に着手すればよいのか。

　「セキュリティポリシー」を策定する前に、セキュリティポリシーそのものの位置付けを確認しておこう。

　セキュリティポリシーとは、「企業のセキュリティや情報漏えいに対する大方針」と言い換えられる。 つまり、セキュリティ対策を何のために行い、どのような考え方に基づいて実施していくのか、会社としての基本方針を示すものだ。 法律における憲法に近い存在だ。

　すなわち、セキュリティポリシーは全社的に適用されるものなので、包括的／一般的な表現となる。例えると、「情報漏えいはしてはならない」「不正に情報が操作されているのに気付いたら報告しなければならない」といった内容だ。

　そして、取締役会もしくは代表取締役など、企業のトップが「セキュリティポリシー」を宣言することも重要だ。トップが宣言することで、多少は従業員の意識を喚起させる効果が見込めるからだ。また、「トップであってもポリシーを順守しなければならない」という姿勢も示す必要がある。

　セキュリティポリシーは大方針であるため、頻繁に改変するようなものではない。その点からも、改変の必要が出てくるような具体的な記述は避けるべきだ。

　このようにセキュリティポリシーでは詳細な記述は避けるべきなので、「何を守るのか」「何が不正なのか」といった具体的な内容は、セキュリティポリシーの下位に属する「ガイドライン」や、さらにその下の実際の作業手順などを示した「手順書」で記すことになる。

　また、ポリシー策定前段階では、リスク区分を行うべきだ。リスク区分とは、リスクを外部要因や技術要因などに基づいて、複数段階にブレークダウンしていくことだ。

　例えば、電気や電話などのインフラ事業や、データセンター事業者、金融業など、セキュリティや情報漏えい対策が重視される業種・業界の場合であれば、「自社の業務に対しては5段階でリスク区分を行う。セキュリティ対策はリスク区分に応じて実施する」といったポリシーの策定が想定される。

　このように、セキュリティポリシーは社長を含めた全社員に向けたものであり、普遍的な内容でなければならない。従って、部署ごとの方針や、個別のリスクへの対応やルールはガイドラインなどで示すことになる。