情報セキュリティポリシーの中核を担う要素とは

セキュリティの脅威はビジネスにおける日常的な課題です。2019年には、ランサムウェアの被害が14秒に1件発生したという記録があります。このような懸念に対処するためには、厳格で包括的な情報セキュリティポリシーが必要です。ただし、効果のあるポリシーでなければなりません。明確性、権威性、適用を保証するための重要な要素を見極める必要があります。

Boxがお役に立ちます。本記事では、貴社のデータセキュリティ目標の達成に必要な情報セキュリティポリシーの重要な要素と、情報セキュリティポリシーと手順に関するベストプラクティスについて解説します。

情報セキュリティポリシーとは？

情報セキュリティポリシーは、組織のデータをセキュアに保つためのルールと手順の集合体です。サイバーセキュリティポリシー、データセキュリティポリシーとも呼ばれます。通常では、ユーザーとネットワークがITのセキュリティおよびデータ保護セキュリティの最低基準を満たすことを保証するために設計されます。

組織内の全てのネットワークおよびITインフラ上の全ユーザーが、このポリシーを遵守しなければなりません。遵守しない場合には、組織のデータに脆弱性が発生するリスクが高まります。一般的に、このポリシーは組織の全てのデジタルデータに適用され、以下のセキュリティ対象領域を含みます。

• データ
• 施設
• インフラ
• ネットワーク
• プログラム
• システム
• サードパーティ（直接のベンダー）、フォースパーティ（ベンダーのベンダー）
• ユーザー

優れた情報セキュリティポリシーは、以下に示すさまざまな目的を達成します。

• 組織全体のセキュリティに対する包括的な対策の定義
• ユーザーアクセス制御ポリシーとセキュリティ対策の策定
• データ、ネットワーク、コンピュータ、デバイス、アプリケーションなど、侵害されたアセットの検知
• 侵害されたアセットによる悪影響の最小化
• 情報セキュリティにおける組織のレピュテーションの保護
• 法的要件へのコンプライアンス
  • 例：FERPA（家庭教育の権利とプライバシーに関する法律）、HIPAA（医療保険の携行性と責任に関する法律）、NIST（米国国立標準技術研究所）、EUのGDPR（一般データ保護規則）その他
• 保護対象健康情報（PHI）、個人識別情報（PII）、クレジットカード番号などの守秘性の高いクライアントデータの保護
• マルウェア、ランサムウェア、フィッシングなどのサイバーセキュリティ脅威に関する質問や苦情に対応するための枠組みの確立
• 情報へのアクセスを、正当な必要性を持つユーザーのみに制限すること

最良の結果を得るためには、組織の情報セキュリティポリシーは実用的かつ実行可能であるべきです。同時に、組織内の各部門や階層のニーズに対応できる柔軟性も備えている必要があります。
 

情報セキュリティポリシーの重要性

守秘性の高い顧客データを適切に扱い、クライアントの信頼を獲得する必要がある企業にとって、情報セキュリティポリシーは不可欠です。現代のビジネス運営において重要である理由は複数あります。

第一に、情報セキュリティポリシーは悪意のある脅威からの防御に役立ちます。データ漏えいやデータ侵害などのセキュリティインシデントは、消費者の信頼を急速に失う要因となります。優れた情報セキュリティポリシー は、このようなインシデントを防止し、顧客の信頼の維持に貢献します。また、サイバー攻撃を受けた場合の平均819万ドルという多額の損失のリスクも軽減します。

適切な情報セキュリティ計画は、守秘性の高いデータを保護するためにも不可欠です。ビジネスの世界の情報は全てが同等ではありません。漏えいすれば甚大な損失をもたらすおそれのある守秘性の高いデータ、知的財産、個人識別情報は、他の種類のデータよりも高いレベルの保護を必要とします。情報セキュリティポリシーは、このような種類のデータを優先的に保護するための方法を明確化する役割も持っています。

情報セキュリティポリシーのもう1つの重要な利点は、ベンダーリスクの最小化に関わるものです。企業の多くがサービスをサードパーティやフォースパーティのベンダーに委託しており、重要なデータにアクセスできる個人の範囲が広がっています。情報セキュリティ計画は、企業がベンダーリスクを管理し、共有情報を可能な限りセキュアに保つ方法を明確化するのに役立ちます。
 

情報セキュリティポリシーの8つの要素

情報セキュリティポリシーの策定を始めたばかりの段階では、ポリシーを個別の管理可能な要素に分解することをお勧めします。各要素を1つずつ開発し、それぞれの内容を精緻化し、さらに、新たに追加すべき内容に気づいたときに追加できる選択肢を確保します。これまでにポリシーの策定経験がある組織においても、基盤となる要素が確実に整っていることを確認する必要があります。

情報セキュリティポリシーの8つの重要な要素は以下のとおりです。
 

1. 目的

情報セキュリティポリシーでまず定義すべき必須要素は、目的です。大まかにいえば、情報セキュリティポリシーの目的は、自社の重要なデジタル情報を保護することです。実際には、各企業・組織は、それぞれのニーズに即して焦点を絞った実践的なポリシーを定義したいと考えるでしょう。情報セキュリティポリシーの目的は、以下の目標のいずれか、または組み合わせとなる可能性があります。

• 組織の情報セキュリティへの取り組みを明確化する
• 組織全体の情報セキュリティのためのテンプレートを作成する
• 組織の秘密情報の侵害を未然に防止する
• データ、ネットワーク、コンピュータシステム、アプリケーションの不正利用、または、サードパーティの不適切な使用による情報セキュリティ侵害を検知する
• 情報セキュリティの侵害に対して迅速で効果的な対応を可能にする
• データセキュリティにおけるブランドレピュテーションを維持する
• 法律上・規制上・倫理上の要件に対するコンプライアンスを維持する
• 顧客の個人データに関するプライバシー権を尊重する
• データ保護、セキュリティ要件および、これらの分野における自社のコンプライアンスに関する顧客からの問い合わせに対応する能力を強化する

情報セキュリティポリシーの明確かつ具体的な目的を明示しない組織は、セキュリティ対策が焦点の定まらない非効果的なものとなるリスクを負うことになります。自社の情報セキュリティポリシーに明確な目的を定義することで、ニーズに即したセキュリティ対策の策定と実践が可能になり、データ保護能力を強化できます。
 

2. 対象者と適用範囲

情報セキュリティポリシーの次の必須要素は、対象者と適用範囲です。ポリシーの適用範囲（ポリシーが適用されるユーザーと適用されないユーザー）を明確に定義します。

例えば、情報セキュリティポリシーの対象にサードパーティベンダーを含めないという選択をする場合があります。セキュリティ目的で適用範囲を拡大すべきだという考え方がある一方で、自社内・組織内に限定したほうが、ポリシーの管理と実施がはるかに容易になります。

ただし、一般的には、サードパーティと共有するデータの法的保護義務がなくても、適用範囲を限定するのは得策ではありません。サードパーティ・フォースパーティベンダーが情報セキュリティポリシーのルール外で活動することを許容すると、セキュリティ侵害やデータ漏えいの重大なリスクにつながるおそれが生じます。

情報セキュリティポリシーの範囲を可能な限り拡大すべき理由の1つは、貴社の内部従業員とサードパーティ／フォースパーティベンダーの違いを顧客が理解していない可能性があるという点です。ベンダー側でセキュリティ侵害が発生した場合に、顧客は不満を抱き、貴社における秘密情報をセキュアに保持する能力に対する信頼を失う可能性があります。その結果、貴社のレピュテーションが損なわれるリスクが生じます。一方、サードパーティ／フォースパーティベンダーを自社の情報セキュリティポリシーの適用範囲に含めることで、顧客データのより厳格な管理と顧客の信頼の維持が可能になります。

適用範囲で考慮すべきもう1つの側面は、ポリシーが管理するインフラの範囲です。理想的には、情報セキュリティポリシーは、組織内の全てのプログラム、データ、施設、システムその他の技術インフラを対象とすべきです。広範な適用範囲を設けることで、データセキュリティのリスクを低減できます。
 

3. 情報セキュリティの目標

データセキュリティポリシーを策定する際には、自社の情報セキュリティの目標を考慮する必要があります。IT業界では一般的に、情報セキュリティポリシーの主要な原則としてCIAの3要素と呼ばれる3つの原則があります。

• 守秘性：情報セキュリティポリシーは、守秘性の高い情報資産の秘匿性を保ち、保護された情報へのアクセスは許可されたユーザーのみに制限すること。
• 完全性：情報セキュリティポリシーは、データを完全かつ正確な状態で完全に保持し、ITインフラ内で運用可能な状態を維持すること。
• 可用性：情報セキュリティポリシーは、ITシステムが必要なときに許可されたユーザーが確実に利用できるようにすること。データは常時利用可能であり、信頼性を維持すること。

代替戦略として、ITセキュリティの第一人者であるドン・B・パーカー（Donn B. Parker）が提唱したパーカーの6原則（Parkerian Hexad）を用いる方法があります。この6原則には、従来の守秘性、完全性、可用性に加えて、以下の3つの新たな原則が含まれます。

所有（Possession）：所有（または管理）とは、組織の秘密情報を保存する媒体の物理的な所在をさします。例えば、組織が守秘対象の情報を含む暗号化ファイルをテープで保管している場合に、暗号化は守秘性の要件を満たします。しかし一方で、テープが紛失したり組織の管理下から離れたりすれば、セキュリティリスクとなります。

真正性（Authenticity）：真正性とは、秘密情報の出所に関する透明性をさします。例えば、別のユーザーから送信されたように改ざんされたEメールは、真正性の原則に違反します。デジタル署名は真正性を強化する1つの手段です。

有用性：有用性とは、データが実際にどれほど有用かを示します。情報セキュリティポリシーで保護される情報は、使用可能でなければなりません。例えば、データの暗号化においては、組織内の誰もアクセスできないような高度過ぎる暗号化は実用的ではありません。
 

4. 権限とアクセス制御ポリシー

情報セキュリティポリシーでは、データへのアクセスを制限する権限を持つ組織メンバーも明記すべきであす。これらのメンバーは、共有可能な情報とそうでない情報を正しく判断できる十分なデータセキュリティ知識を持つ、信頼できる従業員である必要があります。

許容されるデータ共有の範囲は、必ずしも貴社単独で決定できるものではありません。例えば、医療・ヘルスケア関連の企業は、患者情報の開示を制限するHIPAA要件への準拠が求められます。

組織内の階層構造は、アクセス制御において重要な役割を果たします。下位レベルの従業員は、他者にアクセス権を付与する際に必要となるインサイトや権限を持たないため、自身がアクセス可能なデータを他者と共有することは基本的には避けるべきです。組織の全体的な役割について包括的なインサイトを持つ上位の従業員や管理職は、通常では、自らの判断で情報へのアクセス権を付与する権限を有しています。

情報セキュリティポリシーには、情報共有を承認できる担当者を明確化するアクセス制御方針を含める必要があります。このセクションでは、社内の各役職が情報およびITシステムに対して持つ権限の範囲を定義すべきです。また、秘密データの管理方法、会社が実施するアクセス制御の内容、それらの制御に対する権限を持つ者、会社が満たすべき最低限のセキュリティ基準についても明確化する必要があります。

さらに、アクセスを適切に許可し、不正アクセスを拒否するための十分な制御を整備する必要があります。一般的なアクセス制御には、以下のような対策が含まれます。

• 強力なパスワードの要件
• 定期的なパスワードの更新
• IDカード
• アクセストークン
• 指紋認証デバイスなどの生体認証手段

ログイン試行を記録する監視システムの導入を検討することをお奨めします。記録内容には、アクセスを試みたユーザーの身元、ログイン試行の日時、試行の成否を含める必要があります。また、リモートログイン試行を検知するシステムと、退職した従業員のアクセス権限を速やかに取り消す対策も整備すべきです。

<IMAGE>
 

5. データの分類

データの分類は、情報セキュリティポリシーの重要な要素です。セキュリティレベル（例：「公開」「部外秘」「秘密」「最高秘密・機密」などのカテゴリ）でデータを分類します。また、以下のように階層でデータを分類することも可能です。

• レベル1：一般に公開されている情報
• レベル2：秘密保持が求められるが、公開されても重大な損害を及ぼさない情報
• レベル3：公開された場合に、自社または顧客に損害を及ぼす可能性のある情報
• レベル4：公開された場合に、自社または顧客に重大な損害を及ぼす可能性のある情報
• レベル5：公開された場合に、自社または顧客に確実に重大な損害をもたらす情報

これらのシステムでは、非公開データの各レベルに何らかの保護が必要であり、上位のレベルほど厳格なセキュリティが求められます。

データの分類においては、法律で保護される情報と保護されない情報を明記することも必要です。公開情報は法的保護の対象外です。法律で保護されない情報でも、自社が保護に値すると判断した場合は秘密情報として扱います。さらに、法律に基づく保護が必要な情報については、高リスクなデータとして扱うことも可能です。

法的保護対象となる高リスクなデータの例は以下のとおりです。

• HIPAAで保護される医療・ヘルスケアに関する情報
• FERPAで保護される教育に関する情報
• 財務に関する情報
• 給与に関する情報

データの分類を定義する際には、ニーズに即した保護レベルに適合させるための対策も併せて策定することが必要です。
 

6. データのサポートと運用

データのサポートと運用には、分類された各レベルのデータを処理するために貴社が実施する対策が含まれます。データのサポートの運用の主要なカテゴリは次の3つです。

データ保護に関する規制：個人識別情報（PII）をはじめとする守秘性の高いデータを保護するには、組織としての基準を確立する必要があります。これらの基準は、該当する業界および国や地域の規制に準拠しなければなりません。ほとんどのセキュリティ基準と規制において、少なくともファイアウォール、データ暗号化、マルウェア対策が求められます。

データのバックアップに関する要件：データのセキュアなバックアップも重要です。バックアップを暗号化し、バックアップ媒体を確実に、セキュアに保管する必要があります。クラウドでセキュアにバックアップデータを保管する方法は、きわめて有用な選択肢となります。

データ移動時の対策：データの移動時には常にセキュリティを確保しなければなりません。セキュアなプロトコルでデータを転送し、ポータブルデバイスへのコピーや、セキュアでないネットワーク経由の送信時には、データの暗号化が必須となります。
 

7. セキュリティ意識と行動

組織内のセキュリティ意識を高め、侵害を防止するための戦略を実施することが必要です。意識を向上させて攻撃や損失を防止するためには、従業員の行動に関する規則を設ける場合があります。

この目標を達成する最良の方法の1つは、情報セキュリティポリシーについて従業員を十分に教育することです。秘密データの分類システム、データ保護戦略、アクセス保護対策についての理解を深め、習慣として自然に行動できるよう、従業員を支援します。

セキュリティ意識を高め、責任ある行動を促進するために、セキュリティ研修に含めるべき内容の例を以下に示します。

ソーシャルエンジニアリング：フィッシングメールなどのソーシャルエンジニアリング攻撃に伴うリスクについて従業員を教育します。従業員がこのような攻撃を検知し、阻止・防止できるよう十分な訓練を実施し、継続的に対応する責任を持たせます。

クリーンデスクポリシー：データ損失を防ぐ最も簡単な方法の1つは、守秘性の高いデータを見えない場所、容易にアクセスできない場所で保管することです。この目標を達成するためには、組織全体でクリーンデスクポリシーを導入する必要があります。従業員に対し、デスクや作業エリアに未保護の物品を置かないよう指示します。具体的な例としては、古い書類のファイリングまたはシュレッダー処理、印刷物の速やかな回収、ケーブルロックによるノートパソコンの固定などの対策が挙げられます。

インターネット利用ポリシー：厳格なインターネット利用ポリシーの導入も必要です。データの守秘性や職場の要件に応じて、YouTube、Facebook、その他のソーシャルメディアサイトなどの情報共有サイトをブロックすることが望ましい場合があります。プロキシを使用して不正なWebサイトへのアクセスをブロックし、データをセキュアに保ちます。
 

8. 従業員の責任・権利・義務

データ保護に関する従業員の権利、責任、義務を明確化することが必要です。アクセス権限の見直し、従業員の教育、変更管理プロトコルの監督、インシデントへの対応、情報セキュリティポリシーの全般的な監督・実施支援を担当する責任者を指定し、従業員に責任を委譲するとよいでしょう。

従業員の責任と義務を明確に定義し、各自が持つ権利と権限を周知徹底することで、セキュリティリスクにつながるデータ管理上の問題を回避しやすくなります。
 

情報セキュリティポリシー策定のベストプラクティス

情報セキュリティポリシーの策定に役立つベストプラクティスを以下に示します。

ポリシーを進化させる：情報セキュリティポリシーには、テクノロジーの進歩や組織内の変化に対応できる柔軟性を持たせることが重要です。新たな脅威や課題に対処するには、ニーズに応じてポリシーの内容を更新する必要があります。

部門間の連携を推進する：情報セキュリティに関して、全部門が共通の認識を持つことが必要です。例えば、管理部門はIT部門と密にコミュニケーションを取り、リスクのアセスメント（評価）や、規制に対するコンプライアンスについて連携します。

インシデント対策を策定する：情報セキュリティポリシーには、セキュリティインシデントを防止するための十分な情報が含まれている必要があります。万が一侵害が発生した場合に責任を持って対処できるよう、堅牢なセキュリティインシデント対応計画を策定し、実施します。

適切な利用ポリシーを策定する：利用ポリシーでは、組織がリソースをどのように利用すべきかを定義します。従業員が許可なくノートパソコンを持ち帰ったり、権限のない人物にネットワークアクセスを許可したりするなど、企業リソースの誤用によるデータ侵害の発生を防ぐのに役立ちます。 

プライバシー規制を遵守する：GDPRやHIPAA、FERPAなどの米国連邦法は、エンドユーザーのプライバシーを保護する規制の例です。自社に適用される法律や規制を確認し、コンプライアンスを維持することが重要です。
 

Boxによるセキュリティとコンプライアンス

Boxのインテリジェントコンテンツ管理は、厳格なセキュリティレベルを確保すると同時に、情報の共有、共同作業、ビジネス全体の重要なワークフローの効率化を可能にします。Boxのエンタープライズグレードのセキュリティおよびコンプライアンス管理ソリューションは、インテリジェントな脅威検知と分類ベースのセキュリティ制御により、データ侵害を防止します。情報をセキュアに管理し、顧客の秘密データが保護されていることを保証できます。

Boxの高度なセキュリティ製品Box Shieldは、ファイルの種類を問わないネイティブな分類機能と、複数の組み込み型およびインライン型DLP（データ漏えい防止）およびDRM（デジタル著作権管理）制御を提供し、フリクションレスなユーザー体験（UX）を実現します。管理者は、ポリシーを作成し、外部とのコラボレーション、共有リンク、Web・モバイル・デスクトップでのダウンロードに対する分類ベースのセキュリティ制御を適用できるほか、サードパーティのアプリケーション、印刷、FTPに対する制限を設定できます。

脅威検知ポリシーは、機械学習を活用したネイティブ検知とアラート機能により、ユーザーの異常な行動を含む内部脅威に対処します。組み込みのマルウェア対策機能は、Microsoft 365やApple iWorkでのプレビューやオンライン編集を許可すると同時に、ダウンロードやローカルでの編集を制限することで、ユーザーに警告し、マルウェアの拡散を防止します。

Boxを是非お試しください。価格プランはこちらからアクセスできます。また、情報セキュリティポリシーの強化にBoxがいかにお役に立つかについてのご相談・お問い合わせも承っております。

 <IMAGE>

**Boxは、高度なプライバシー、セキュリティ、コンプライアンスを備えた製品とサービスの提供に尽力しています。ただし、この記事で提供される情報は、法的助言の提供を意図したものではありません。適用される法律に対するコンプライアンスを検証する際には、お客さまが自らデューデリジェンスを実施することを推奨します。