Shikata Ga Nai

Private? There is no such things.

10-2:良いポリシーの条件

NIST

Hello there, ('ω')ノ

サイバーセキュリティポリシーは、企業の情報資産を保護するための指針ですが、「作成しただけで満足してしまい、実際には誰も守っていない」というケースも少なくありません。
その原因の多くは、ポリシーの内容が「曖昧」「実行不可能」「現場に合っていない」ことにあります。

NISTサイバーセキュリティフレームワーク(NIST CSF)では、ポリシーは単なる文書ではなく、企業の運営に組み込まれ、現場で適用されるべきものであるとされています。本記事では、良いポリシーの条件、作成時の注意点、実効性を高めるためのポイントについて解説します。

良いポリシーの条件とは?

効果的なセキュリティポリシーには、次の5つの条件が求められます。

1. 明確で分かりやすい

専門用語をできるだけ避け、誰が読んでも理解できるようにする
「何をすべきか」「何をしてはいけないか」が一目で分かる表現にする

🚨 悪い例(曖昧なポリシー)

「システムは適切に保護されるものとする」

👆 「適切に保護」とは何を意味するのか? どのような対策を講じるべきなのかが不明確

良い例(明確なポリシー)

「システムの管理者は、すべてのサーバーに月1回以上のセキュリティパッチを適用し、適用状況を記録すること」

💡 「誰が、いつ、何をするのか」を明確にすることで、実施しやすくなる!

2. 実行可能で、現実的である

理想的すぎるルールではなく、実際に運用できるルールにする
企業の規模や業務フローに適した内容にする

🚨 悪い例(実行不可能なポリシー)

「すべての従業員は、1日1回パスワードを変更しなければならない」

👆 頻繁すぎて現実的ではなく、逆にパスワードをメモに書き留めるなどのリスクが発生する可能性がある

良い例(実行可能なポリシー)

「従業員のパスワードは、90日に1回変更し、再利用は禁止する。また、多要素認証(MFA)を必須とする」

💡 現実的なルールにしないと、形骸化してしまい、誰も守らなくなる!

3. 組織の実態に即している

業界の特性や業務プロセスに適合した内容にする
従業員が日常業務で実践できるようにする

🚨 悪い例(実態に即していないポリシー)

「すべてのデータを社内ネットワーク内でのみ取り扱い、外部クラウドサービスの利用は禁止する」

👆 リモートワークが普及している企業では、非現実的なルールになってしまう

良い例(業務フローに適したポリシー)

「機密データは、会社指定のクラウドストレージ(例:Google Drive、OneDrive)でのみ保存し、個人のUSBメモリや私用クラウドには保存しない」

💡 業務に支障をきたさない範囲で、セキュリティを強化することが重要!

4. 役割と責任が明確である

誰が何を担当するのか、責任範囲を明確にする
ポリシーの遵守状況を監視する体制を整える

🚨 悪い例(責任が不明確なポリシー)

「定期的にセキュリティチェックを実施すること」

👆 「誰が」セキュリティチェックを行うのかが不明確なため、結局誰もやらなくなる可能性がある

良い例(責任が明確なポリシー)

「情報システム部は、四半期ごとに全社のセキュリティチェックを実施し、結果をCISO(最高情報セキュリティ責任者)に報告する」

💡 役割と責任を明確にすることで、確実に実行されるようになる!

5. 定期的に見直し・改善ができる

サイバー脅威の変化に応じて、ポリシーを定期的に更新する
インシデント発生時の教訓を反映させ、改善する

🚨 悪い例(更新されないポリシー)

「当社のネットワークは、WPA2暗号化を使用する」

👆 最新のセキュリティ基準(WPA3)が登場しても、ポリシーが古いままだと、脆弱性が残ってしまう

良い例(定期的な見直しが組み込まれたポリシー)

「無線ネットワークの暗号化方式は、業界標準に基づき、定期的に最新のものへ移行する」

💡 「作って終わり」ではなく、継続的な改善が不可欠!

良いポリシーを作るためのチェックリスト

ポリシーの目的は明確か?(なぜ必要なのかが説明できるか)
誰が読んでも分かりやすいか?(専門用語が多すぎないか)
実際に実行可能な内容か?(非現実的な要求になっていないか)
業務の実態に合っているか?(業務に支障をきたさないか)
役割と責任が明確になっているか?(誰が何をするのか決まっているか)
定期的に見直し・更新する仕組みがあるか?(最新の脅威に対応できるか)

実効性を高めるためにやるべきこと

1. ポリシーを全社員に周知する
- 社内ポータルやガイドブックを活用し、誰でもアクセスできるようにする
- ポリシーの内容を定期的にメールや社内掲示板で発信する

2. セキュリティ教育を実施する
- ポリシー策定後、従業員向けにトレーニングを行う
- 実際の事例を交えながら、なぜ必要なのかを説明する

3. 守られているかを監査・評価する
- ポリシーの遵守状況を定期的にチェックし、問題点をフィードバックする
- 違反があった場合の対応ルールを明確にし、公平に適用する

💡 「作って終わり」ではなく、「守られる仕組み」を作ることが重要!

まとめ

ポリシーは「明確・実行可能・実態に即している」ことが重要
役割と責任を明確にし、確実に実行される仕組みを作る
定期的に見直し、最新の脅威に対応できるようにする
教育・監査を組み合わせ、ポリシーが現場で機能するようにする

Best regards, (^^ゞ