情報セキュリティポリシーとは?なぜ必要?初心者が調べてみた
こんにちは!『Pivot-Form』担当の岡崎( @okazaki__shiho )です。
Webサイトの情報漏えいやサイバー攻撃によるサービス停止などのニュースをよく目にしますよね。特に最近は、cookie規制などの影響もあり、個人情報保護に関するセキュリティ対策がますます厳しくなってきているように思います。
私自身、Pivot-Formを担当する中でもセキュリティ対策について考える場面も多いのですが、そのなかで『情報セキュリティポリシー』という言葉を初めて聞く機会がありました。なにやらセキュリティ対策の一つとして重要なものらしい。
この記事を読んでくださっている方のなかでも「情報セキュリティポリシー策定の担当になったが、どこから始めればいいのかわからない」「会社全体の情報セキュリティを強化したシステムの導入を推進したい」といった方もいらっしゃるのではないでしょうか?
今回は、「情報セキュリティポリシーとよく聞くものの、なぜ必要なのか?」と私自身も疑問に感じたことから、初心者として調べたことをまとめたいと思います。
このページの目次
( 開く )
情報セキュリティポリシーとは?
まずは、情報セキュリティポリシーとはどんなものかを知るため、以下の総務省のサイトを参考にしながら、目的や範囲、責任者などの基本的な考え方を調べてみました。
何の目的か
まず、情報セキュリティ自体がなぜ必要なのか、目的を見ていきます。
情報システムやインターネットは、企業や組織の運営に欠かせないものになりました。しかし、情報システムへの依存による利便性の向上と引き換えに、大きな危険性を抱え持つことにもなっています。
情報システムの停止による損失、顧客情報の漏洩(ろうえい)による企業や組織のブランドイメージの失墜など、情報セキュリティ上のリスクは、企業や組織に大きな被害や影響をもたらします。また、多くの場合、被害や影響は取引先や顧客をはじめとした関係者へも波及します。
企業や組織にとって、情報セキュリティに対するリスクマネジメントは重要な経営課題の一つと考えなければなりません。特に、個人情報や顧客情報などの重要情報を取り扱う場合、これを保護することは企業や組織の社会的責務でもあります。
出典:情報セキュリティ対策の必要性| 総務省『国民のためのサイバーセキュリティサイト』
企業や組織として情報を取り扱う以上、安全な管理が必要不可欠ですね。
情報セキュリティポリシーの範囲
企業としてやり取りする情報はほぼすべて。そして、取り扱い方も判断基準が無数にあります。
例えば、管理場所は、クラウド上に保存するのかUSBに保存するのか。正社員の方やアルバイトの方、マーケティング部署や営業部署によって、閲覧できる情報を分けるのか、分けた場合どこの情報まで閲覧できるようにするのか。さらに、一度得た情報はいつどのように削除するのか、いざというときのためにバックアップを取っておくべきなのかなどなど。
決めておくべきことが膨大かつ幅広いですね。ただし、誰でもデータを閲覧・持ち出しできてしまう環境のまま放置しておくと、企業の信頼低下につながる出来事が起こりかねません。
実際に、USBの持ち出しができてしまったことによるニュースも報道されています。
NTT西子会社、900万件の情報流出 USBに記録し第三者に渡す
では、かなり幅広いこの分野に対して、だれがどこを決めたら良いのか、そして、決めるためには社内の方をどのように巻き込んでいけば良いのでしょうか?
だれが何を考えるべきなのか
情報システム部門だけに限らず、さまざまな部署の協力が必要です。
企業の情報資産を情報セキュリティの脅威から守るために、情報セキュリティポリシーを策定する必要があります。
情報セキュリティポリシーを策定する際にもっとも大切なことは、担当者、体制、手順をあらかじめ検討しておくことです。また、情報セキュリティポリシーは、企業や組織の代表者が施行するものであるため、可能な限り、代表者や幹部が策定の作業自体にも関わるような体制を作ることが重要です。情報セキュリティポリシーを策定し運用するには、責任者を明確にして、情報セキュリティポリシー策定に携わる人材を組織化することが必要です。この組織の活動内容が情報セキュリティポリシーの策定・運用の成果に大きく影響するため、企業や組織の実情や現在の社会状況に見合った情報セキュリティポリシーを策定・運用するためには、適切な人材を確保する必要があります。また、情報セキュリティポリシーの品質を高めるため、外部のコンサルタントや法律の専門家に参加を依頼することも検討するとよいでしょう。
出典:情報セキュリティポリシーの策定| 総務省『国民のためのサイバーセキュリティサイト』
具体的に関係者となる方はどういった方で、何を考えるべきなのか考えてみました。
経営層
企業としての最終的な責任を負う立ち場になります。情報の扱い方がいい加減だった場合、企業の信頼低下につながる恐れがあります。
場合によっては、情報を安全に管理するために有料の管理ツールの検討も必要かもしれません。
- データを安全にやり取りすることができるのか?
- ツールを直感的に操作できるか?
- ユーザー数やデータ量を増やしても対応できるか?
など、さまざまな観点から検討が必要です。
代表的な管理ツールだと、Google Workspaceが有名ですね。
セキュリティも守られつつ、インターネットに接続されていれば、どこからでもアクセス可能なため、リモートワークや出張中でもスムーズに業務を行えたり、アクセス権の管理がしやすかったり、クラウドストレージ容量の追加ができたりと、中小企業から大企業まで幅広い組織規模で活用することができます。
「フォルダが整理できておらず、必要なファイルが見つけにくい」
「誰がどのファイルにアクセスできるのか分からない」
「新入社員や退職者の権限管理が面倒」
などの悩みをお持ちの方には、適したツールだと思います。
情報セキュリティの策定者、責任者
情報セキュリティの策定者や責任者は、企業の情報セキュリティ戦略を策定し、実行する責任を持つ必要があります。
ただ策定前に、社内でどのように情報が管理されているかが明確でない場合、まずは社内の情報整理から始めるべきかと思います。
そして、万が一情報漏えいがした場合に備えて、企業としてどのように対応するかまで決めておくと安心です。
以下の記事では、企業がどのようにしてインシデント対応をするべきか、という議論がされています。
特に「インシデントの規模や種類によって7レベルに分けられ、段階に応じた対応が必要になる」という部分は、いざというとき対応するための判断基準になるかと思います。もし発生した際、適切なタイミングと内容で正確な情報提供ができるよう、準備しておきましょう。
全社員
そして、一番大切なのは、なぜセキュリティポリシーが必要なのかを全社員が理解することです。いくら企業内でセキュリティ対策を強くしても、社員自身がセキュリティに対する意識が低い場合は、ふとした行動から情報漏えいにつながる可能性もあります。
社員一人ひとりのセキュリティ意識を高めることで、日々の業務でも情報の管理方法を考えるようになるかと思います。
また、セキュリティポリシーがあることで管理方法が明確になれば、作業がスムーズになる可能性もあります。
情報セキュリティポリシーがないとどうなる?なぜ必要?
では、情報セキュリティポリシーがない場合、どういったトラブルが考えられるのでしょうか?
法的トラブルに発展する可能性
情報漏えいが発生した場合、顧客や取引先からの罰金や訴訟に対して対応できないリスクがあります。自分の個人情報が悪用されるかもしれない、と思うと不安や不信感を抱きますよね。いざ、訴訟をされた際、法律によって企業を守るための対策が十分になされていないと、思いがけないコストや労力が必要になるかもしれません。
サイバー攻撃防止の準備不足
サイバー攻撃を受けた場合、システムの復旧や顧客対応に多額のコストがかかる可能性があります。特に準備が不足していると、さらに時間がかかって被害が大きくなることも。また、重要なデータが破壊されたり、普段使用しているシステムにアクセスができなくなったりすると、業務そのものも停止する可能性があります。
企業間の信頼がなくなる
対策がされていないまま情報漏えいが発生すると、企業として信頼が低下して取引先として選ばれない可能性も。特に情報セキュリティを重視する大企業や上場企業との取引の際などには必須といっても良いでしょう。
ブランドイメージの低下
情報漏えいが発生した際、日頃から対策を考えられていないことが明らかになった場合、顧客はもちろん、顧客以外である世間一般からの反応も悪くなります。
社内の混乱が生じる
各社員や各部署がそれぞれ異なる方法で情報を管理していると、情報管理に一貫性がなくなります。業務に対して担当の部署が変わったり、緊急で別の担当者が対応しなくてはいけなくなったりした場合、社内での管理方法が明確になっていないと混乱する恐れがあります。
情報セキュリティがなかったことで起こったトラブル事例
事例1:資料請求の情報が漏洩した
大手エステ会社のホームページで、資料請求のために登録された3万件以上の氏名、住所、年齢、メールアドレスなどの個人情報が漏洩する事件がありました。原因は、webサーバの初歩的な設定ミスでした。この事件は、登録情報の中にエステに関心を持っている理由や体のサイズといった重要なプライバシー情報があったため、とても大きな問題になりました。
この事件だけでなく、ホームページで登録された個人情報が漏洩する事件は数多く発生しています。例えば、懸賞やプレゼントの応募者名簿、アンケートの情報、商品の購入者名簿などの漏洩事件が発生していますが、これらのほとんどは基本的なサーバの設定ミスや脆弱性(ぜいじゃくせい)対策の不備が原因だったようです。
出典:事例1:資料請求の情報が漏洩した| 総務省『国民のためのサイバーセキュリティサイト』
個人情報を収集する場合は、特に情報漏えいに気を付けなくてはいけません。
特にフォームでは、活用しやすいサービスとしてGoogleフォームが使われることが多いですが、中小から大規模の企業や組織で設定ミスによる情報漏えいが定期的にニュースになっています。
サーバやシステムの脆弱性対策も欠かせませんが、フォームを作成したり、データを扱ったりする担当者の知識も必要となります。
事例2:不正アクセスされてシステムが使えなくなった
Bさんの会社は、国内の複数のメーカーに部品を供給する事業を展開しています。
ある日、社内サーバが不正アクセスを検知したため、被害が広がらないように社内サーバをネットワーク上で隔離し、社内外のシステムとの通信を遮断しました。その社内サーバは、部品の受発注や納品データのやりとりをするシステムに関連していたため、影響は甚大なものとなり、部品供給先の複数のメーカ-も業務を一時停止せざるを得ない状況に陥りました。
出典:事例13 不正アクセスされてシステムが使えなくなった| 総務省『国民のためのサイバーセキュリティサイト』
社内で複数のシステムが連携されている企業も多いかと思いますが、1つのシステムが使えなくなった場合のトラブル対応まで考えられている企業は多くないのではないでしょうか?システム連携には業務のスムーズさというメリットがありますが、その一方で、1つのシステムに問題が発生した場合、他のシステムや業務にまで影響が及ぶ可能性は高いです。
また、連携にはAPI(アプリケーション・プログラミング・インターフェース)と呼ばれるプログラム同士をつなぐ「インターフェース」が使われることがほとんどです。ただ、APIは幅広いセキュリティリスクに対して脆弱な可能性があり、狙われやすいポイントでもあります。
できる限り被害を最小限に抑えるためには、一部のシステムが使えなくなった場合を想定したり、システムやAPIの脆弱性診断を受けて防ぐことが大切です。
以下のサイトでは、ほかにも発生したさまざまな事例が紹介されています。事前に知っておくと、同じようなトラブルの発生を防ぐことができるかもしれません。
ただし、対策のやりすぎも注意
ただ、実務のしやすさも考慮した内容である必要があります。
セキュリティ対策の機密保護の度合いとアクセスの容易さは相反する関係にある。厳しい対策基準のもとに手順書が作られると、従業員が情報資源へのアクセスに時間や手間がかかってシステムの使い勝手が悪くなる。利便性追求を黙殺してでも、優先して守るべき情報資産を抱えているならそれでもよい。
日々ヘルプデスク業務に忙殺され、それが当たり前のような認識ではセキュリティポリシーどころか、セキュリティ推進体制について話すことすら難しい。この状況では情報セキュリティ推進体制に関して、どんなに良い案を持っていても理解されない。
この状況ではセキュリティ体制は何も整備できない。まさに「情報セキュリティについて何とかしよう」と思う側と「余計な仕事は勘弁してくれ」という側の闘いになってしまう。まさに情報システム部の泣きどころである。
現状の情報セキュリティポリシーの問題点 |@IT
情報セキュリティポリシーを策定する側の社内調整力が問われますね。
情報漏えいは危険だからと厳しくセキュリティ対策を定めても、日々の業務が困難になっては意味がないのです。
以下は20年以上前の記事なのですが、策定する難しさやどのように進めたら良いかなどが書かれていて、今でも十分共感できる内容となっています。
Pivot-Formでは?
上記のような情報漏えいが発生しないように、ノーコードWebフォーム作成ツール『Pivot-Form』で取り組んでいることをご紹介します。
実際に開発している藤田に聞いてみました!
会社として、セキュリティをどのように考えていますか?
何事にも、バランスが大切だと思います。セキュリティ対策もやりすぎてもいけませんし、全く対策しないのも良くありません。
対策しない例では、従業員が勝手にソフトをインストールしたり、よく調べずにフリーソフトを使ってしまうことがあります。具体的なものだと、ファイル転送で使うFTP(File Transfer Protocol)では、通信内容が丸見えなため根本的な情報が漏れることが多く、情報漏えいのリスクが高いですし、無料で配布されているPHPソフトのフォームも、ものによっては、フォームを通じて情報が抜き取られるなどの被害に遭う可能性があり、気をつけなければいけません。
かといって、外部のソフトやサービスを使うために都度申請を義務づけると、通常の業務をひっ迫してしまいます。ポリシーを作って従業員に守らせるのも重要ですが、ポリシー策定の前に日頃から全員がセキュリティの意識を持つことが何より大切です。
セキュリティーポリシーのよくある問題として、たとえばどういったものが挙げられますか?
よくある問題としては、以下のようなものが挙げられます。
- 外部サービスの利用制限:企業のセキュリティポリシーによって、外部サービスの使用が制限されていることがあります。弊社は、プロジェクト管理ツールとして、Wrikeというものを使ってやり取りするようにしています。ただし、お客さまのほうで使えるツールが限定されていたり、外部のツール自体を使えない環境の場合は、メールやご指定のツールでやりとりするなど、柔軟に対応しています。お客さまによっては、ツールを使用しているユーザーの定期的な状況報告が必要な場合もあります。
- パスワード文字数の指定:セキュリティポリシーによって、文字数や使用文字を指定されていることがあります。具体的には、「8桁以上のパスワード」など最低限の桁数が決められていたり、英数字と記号を入れる必要があったり、英語に関しては大文字・小文字を含めたものを使用しなくてはいけなかったりなどですね。
そのほか、一部の企業では、YouTubeなどの外部動画サービスの利用を制限されている場合もあります。これまでにも、動画コンテンツをメインビジュアルとしてサイトへの表示を希望される場合、まずはYouTubeそのものがセキュリティポリシーによって制限されていないか確認したこともありました。そのときは、先方の情報システム部門と連携しながら、自社のWebサイト経由だけでYouTubeが見られるようにするなどの調整をしましたね。
Pivot-Formでは、どのようにセキュリティを維持しつつ、使いやすさも確保していますか?
セキュリティとして攻撃を受けられる状態はもちろん防いだうえで、お客さまに説明をきちんとした上で使いやすさのバランスも重視しています。Pivot-Formを安心して使っていただけるように、具体的には以下のような取り組みを行っています。
カスタマイズの柔軟性:導入時にヒアリングを行い、お客さまビジネスや業務フローに合わせたカスタムパッケージを設計・開発します。先ほどよくある問題として触れたパスワードの指定についても、指定の桁数に満たしていなかったり、大文字小文字が両方含まれてなければエラーを返すなどのカスタマイズも可能です。
セキュリティ診断の実施と対応:年に一度、第三者のセキュリティ診断会社による脆弱性診断を実施し、診断結果に基づいてシステムのアップデートを行っています。脆弱性についても、その都度修正していますね。また、上記のパスワードのようなカスタマイズごとに対しても、脆弱性診断を実施することもできます。
使い勝手の向上:ユーザーの利便性とセキュリティリスクのバランスを考慮した判断を行っています。 脆弱性診断の結果をもとに修正した例を挙げるとすれば、以前はPivot-Formのログイン画面にパスワード保存機能を付けていましたが、廃止しました。今はブラウザ自体が保存機能を持っていたり、外部のパスワード管理ツールもたくさんあったりします。Pivot-Form自体になくてもユーザーの満足度が落ちないと判断するものは、外部のツールをユーザーに活用いただきながら、システムのリスクを減らす工夫をしています。
まとめ
調べてみた感想
今回調べて、企業が持つ情報を守る大切さはもちろん、社内で働く方がスムーズに働ける環境を作るバランスの難しさを痛感しました。安全性と使いやすさを両立させるって難しいですね…。
いきなり細かな部分までを策定する必要はないかと思います。
セキュリティを優先するあまり、社員にもユーザーにも煩わしい対策を立てていては、元も子もありません。
まずは「パスワードについて、文字数や更新頻度の指定から」など、できるところから徐々に進めて、社員の方のセキュリティに対する意識を少しずつ上げていくことが大切ではないでしょうか?
また、情報セキュリティポリシーを策定した後も、定期的に見直しと改善を行うことで、事故を未然に防ぐことができます。
Pivot-Formでは、年に1回脆弱性診断を受けているだけでなく、企業ごとのフローに合わせたカスタマイズが柔軟にできます。
「安心なシステムに変えたいけど、使いづらさがないか心配」「社内の情報セキュリティポリシーの影響で、脆弱性診断を受けているシステムでないと使えない」といった方は、ぜひお気軽にご相談ください。
私自身、今後も情報セキュリティに関する知識を深めて、具体的な対策を学び続けていきたいと思います!