ポリシーと手順
サイバーセキュリティは、IT 部門にとっても経営幹部にとっても重要な問題です。しかし、セキュリティは、IT 担当者や経営幹部だけでなく、組織内のすべての従業員が気に掛けるべきものです。セキュリティの重要性について従業員を教育する効果的な方法のひとつは、IT システムとデータを保護するために各従業員が果たすべき責任について説明したサイバーセキュリティ ポリシーです。サイバーセキュリティ ポリシーは、メールの添付ファイルの暗号化といったアクティビティに行動基準を定めたり、ソーシャル メディアに使用制限を設けたりするものです。
サイバー攻撃やデータ侵害によって多額の損害が生じる可能性があるため、サイバーセキュリティ ポリシーは重要です。同時に、従業員が組織のセキュリティにおける脆弱な部分となる場合も多くあります。従業員は、パスワードを共有し、悪意のある URL や添付ファイルをクリックし、承認されていないクラウド アプリケーションを使用するほか、機密ファイルを暗号化しないこともあります。
この種のポリシーは、医療、金融、保険などの規制対象業界で事業を展開する公開企業または組織では特に重要です。このような組織には、セキュリティ手順が不十分であると見なされた場合、多額の罰金が科されるおそれがあります。
連邦政府の要件の対象になっていない小規模企業でさえ、IT セキュリティの最低基準を満たすことが期待されており、消費者データの損失につながるサイバー攻撃が発生した場合、組織に過失があると見なされると、起訴される可能性があります。カリフォルニアやニューヨークなどの一部の州では、その州で事業を行う組織に情報セキュリティ要件が課されます。
サイバーセキュリティ ポリシーは、組織の世間でのイメージと信頼性にとっても重要です。顧客、パートナー、株主、入社志願者は、組織が機密データを保護できているというエビデンスを求めています。サイバーセキュリティ ポリシーがなければ、組織はそのようなエビデンスを提供できない可能性があります。
サイバーセキュリティ ポリシーの定義
サイバーセキュリティの手順は、従業員、コンサルタント、パートナー、役員、その他のエンドユーザーがオンラインのアプリケーションやインターネット リソースにアクセスしたり、ネットワーク上でデータを送信したり、その他の方法でセキュリティに関して責任ある行動をとったりする際のルールを説明したものです。一般的に、サイバーセキュリティ ポリシーの最初の部分では、組織におけるセキュリティに関する全般的な期待、役割、責任を記述します。外部のコンサルタント、IT スタッフ、財務スタッフなども関係者となります。これは、ポリシーの「役割と責任」または「情報の責任と説明責任」セクションに該当します。
ポリシーには、ウイルス対策ソフトウェアの要件やクラウド アプリケーションの使用など、サイバーセキュリティのさまざまな分野のセクションを設けることができます。SANS Institute は、さまざまなサイバーセキュリティ ポリシーの例を紹介しています。これらの SANS テンプレートには、リモート アクセス ポリシー、ワイヤレス通信ポリシー、パスワード保護ポリシー、メール ポリシー、デジタル署名ポリシーなどがあります。
規制対象業界の組織は、HIPAA ジャーナルの HIPAA コンプライアンス チェックリスト や IT ガバナンスの GDPR 準拠ポリシーの作成に関する記事 など、特定の法的要件に対応するオンライン リソースを参照できます。
大規模な組織や規制対象業界の組織では、サイバーセキュリティ ポリシーが数十ページに及ぶことは珍しくありません。一方で、小規模な組織であれば、ポリシーが基本的な安全対策を記載した数ページのみにおさまることもあります。このような対策には、次のようなものがあります。
- メール暗号化の使用ルール
- 遠隔で業務用アプリケーションにアクセスする場合の手順
- パスワードの作成と保護のガイドライン
- ソーシャル メディアの使用に関するルール
ポリシーの長さに関係なく、組織にとって最も重要な分野を優先する必要があります。重要な分野の例として、最も機密性の高いデータや規制対象のデータのセキュリティや、過去に発生したデータ侵害の原因に対処するセキュリティがあります。ポリシーにおいて優先すべき分野は、リスク分析を用いて特定することができます。
ポリシーはまた、シンプルで読みやすいものにする必要があります。特に、テクニカル情報を頻繁に更新する必要がある場合は、参照ドキュメントにこうした情報を含めます。たとえば、従業員は個人を特定できる情報 (PII) をすべて暗号化しなければならないとポリシーに明記することが考えられます。ただし、使用する具体的な暗号化ソフトウェアやデータの暗号化手順までをポリシーに記載する必要はありません。
サイバーセキュリティ ポリシーの作成担当者
すべての情報セキュリティ ポリシーに関する主たる責任を負うのは、IT 部門 (多くの場合、CIO または CISO) です。ただし、通常、他の関係者も、その専門知識や組織内での役割に応じて、ポリシーに関与します。ポリシーの作成に関与する可能性が高い主な関係者とその役割は次のとおりです。
- 経営幹部は、セキュリティに関する主要なビジネス ニーズと、サイバーセキュリティ ポリシーを実現するために使用できるリソースを定義します。リソースが不十分で導入できないポリシーを作成しても、労力と時間の無駄です。
- 法務部門は、ポリシーが法的要件を満たし、政府機関の規制に準拠していることを確認します。
- 人事 (HR) 部門は、従業員ポリシーを説明し、施行する責任を負います。人事担当者は、従業員にこのポリシーを必ず読んでもらい、違反した場合には懲戒処分を行います。
- 調達部門は、クラウドサービス ベンダーの審査、クラウド サービス契約の管理、その他の関連サービス プロバイダーの審査を担当します。クラウド プロバイダーのセキュリティが組織のサイバーセキュリティ ポリシーに適合しているかどうかや、関連する他の外部委託サービスの有効性を確認することも調達担当者の業務となる場合があります。
- 公開会社や団体の役員は、その責務の一環としてポリシーのレビューと承認を行います。また、組織のニーズに応じて、ポリシーの作成に多かれ少なかれ関与する場合があります。
ポリシーの作成担当者を決める際は、有効なポリシーを作成する上での最重要人物は誰かを考えます。たとえば、ポリシーの施行や、ポリシーの導入をサポートするリソースの提供を担う部門マネージャーや経営幹部が参加するのが理想的です。
サイバーセキュリティ手順の更新と監査
技術は常に変化しています。サイバーセキュリティの手順は定期的に (理想的には 1 年に 1 回) 更新しましょう。毎年のレビューと更新のプロセスを確立し、主要な関係者を参加させます。
情報セキュリティ ポリシーのレビューを行う際には、ポリシーのガイドラインと組織の実際の慣行を比較します。ポリシーの監査またはレビューにより、現在の業務プロセスに対応していないルールを正確に特定できます。監査は、サイバーセキュリティ ポリシーをどの分野により適切に施行する必要があるかを特定するのにも役立ちます。
IT セキュリティのコンサルティングとトレーニングを行う InfoSec Institute 社は、次の 3 つのポリシー監査目標を提案しています。
- 組織のサイバーセキュリティ ポリシーと実際の慣行を比較する
- 組織が内部脅威にさらされているかどうかを判断する
- 外部のセキュリティ脅威のリスクを評価する
あらゆる組織にとって、適切に更新されているサイバーセキュリティ ポリシーは重要なセキュリティ リソースとなります。これがないと、エンド ユーザーが間違いを犯し、データ侵害を引き起こす可能性があります。取り組み方に思慮が欠けると、罰金、弁護士費用、和解金、社会的信用の喪失、ブランド力の低下など、組織は大きな損害を被る可能性があります。ポリシーを作成して維持することで、このような望ましくない結果を防ぐことができます。