Hello there, ('ω')ノ

サイバーセキュリティポリシーは、企業の情報資産を保護するための指針ですが、「作成しただけで満足してしまい、実際には誰も守っていない」というケースも少なくありません。
その原因の多くは、ポリシーの内容が「曖昧」「実行不可能」「現場に合っていない」ことにあります。

NISTサイバーセキュリティフレームワーク（NIST CSF）では、ポリシーは単なる文書ではなく、企業の運営に組み込まれ、現場で適用されるべきものであるとされています。

---

良いポリシーの条件とは？

効果的なセキュリティポリシーには、次の5つの条件が求められます。

1. 明確で分かりやすい

✅ 専門用語をできるだけ避け、誰が読んでも理解できるようにする
✅ 「何をすべきか」「何をしてはいけないか」が一目で分かる表現にする

🚨 悪い例（曖昧なポリシー）

「システムは適切に保護されるものとする」

👆 「適切に保護」とは何を意味するのか？ どのような対策を講じるべきなのかが不明確。

✅ 良い例（明確なポリシー）

「システムの管理者は、すべてのサーバーに月1回以上のセキュリティパッチを適用し、適用状況を記録すること」

💡 「誰が、いつ、何をするのか」を明確にすることで、実施しやすくなる！

---

2. 実行可能で、現実的である

✅ 理想的すぎるルールではなく、実際に運用できるルールにする
✅ 企業の規模や業務フローに適した内容にする

🚨 悪い例（実行不可能なポリシー）

「すべての従業員は、1日1回パスワードを変更しなければならない」

👆 頻繁すぎて現実的ではなく、逆にパスワードをメモに書き留めるなどのリスクが発生する可能性がある。

✅ 良い例（実行可能なポリシー）

「従業員のパスワードは、90日に1回変更し、再利用は禁止する。また、多要素認証（MFA）を必須とする」

💡 現実的なルールにしないと、形骸化してしまい、誰も守らなくなる！

---

3. 組織の実態に即している

✅ 業界の特性や業務プロセスに適合した内容にする
✅ 従業員が日常業務で実践できるようにする