Shikata Ga Nai

Private? There is no such things.

10-4:ポリシー見直しのタイミングとポイント

NIST

Hello there, ('ω')ノ

サイバーセキュリティの脅威は日々進化し、新たな攻撃手法が次々と登場しています。
また、企業のビジネス環境や業務プロセスも変化するため、ポリシーを一度作ったら終わりではなく、定期的な見直しと更新が不可欠です。

NISTサイバーセキュリティフレームワーク(NIST CSF)の「統治(Govern)」機能では、ポリシーの継続的な改善を推奨しており、実際の運用状況や新たなリスクに応じて更新することが求められています。

なぜポリシーの見直しが必要なのか?

新しいサイバー脅威に対応するため
👉 ランサムウェアやゼロデイ攻撃など、新たな脅威に対応できるようにする

法規制や業界標準の変更に対応するため
👉 GDPR、ISO27001、NIST 2.0 などの法改正や業界基準に適合する

業務環境の変化に対応するため
👉 リモートワークの導入やクラウド移行など、新しい働き方に適したルールにする

ポリシーが実態に合っているかを確認するため
👉 実際の運用で「守られていないルール」がないかをチェックし、適切な内容に改善する

🚨 見直しを怠ると起こる問題
- 古いポリシーのままだと、最新の攻撃手法に対応できず、新たな脆弱性を放置することになる
- 企業の成長や業務プロセスの変化に対応できず、現場でルールが守られなくなる
- 法規制に準拠できず、コンプライアンス違反による罰則リスクが発生する

💡 「作っただけのポリシー」ではなく、「常に最新の状態で機能するポリシー」にすることが重要!

ポリシーを見直すべきタイミング(5つのタイミング)

① 定期的な見直し(半年~1年に1回)

半年~1年ごとに、ポリシー全体をチェックし、古くなっていないかを確認する
業界のベストプラクティスや新しい技術動向を取り入れる

🚀 実践例

  • 「毎年4月と10月にポリシーを見直す」など、定期的な見直しスケジュールを決める
  • ISO27001やNISTフレームワークを基準に、最新のリスクに対応できているか評価する

💡 定期的な見直しをルール化しておけば、「気づいたら古いポリシーのままになっていた」という事態を防げる!

② インシデント発生時

サイバー攻撃や情報漏洩などのインシデントが発生した際、その教訓を反映してポリシーを見直す
対応が遅れた原因を分析し、改善策をポリシーに反映する

🚀 実践例

  • ランサムウェア攻撃を受けた企業が、「バックアップポリシーを強化し、オフラインバックアップを必須化」したケース
  • フィッシング詐欺で従業員が被害に遭った企業が、「メールセキュリティの標準を変更し、MFA(多要素認証)を必須化」したケース

💡 「失敗を次に活かす」ために、インシデント後のポリシー見直しは必須!

③ 法規制・業界基準の変更時

GDPR(EU一般データ保護規則)や日本の個人情報保護法など、法規制の改正に応じてポリシーを更新する
ISO27001、NIST 2.0 など、業界標準の最新バージョンに適合するよう調整する

🚀 実践例

  • CCPA(カリフォルニア州消費者プライバシー法)の適用範囲が広がり、顧客データ管理ポリシーを改訂
  • NIST CSF 2.0の発表に伴い、セキュリティ監査の基準を更新

💡 法規制違反を防ぐために、規制変更の情報を常にチェックする!

④ 業務環境の変化時(組織変更・新技術導入)

リモートワークの導入、クラウド移行、新しいツールの導入など、業務環境の変化に合わせてポリシーを調整する

🚀 実践例

  • リモートワークの普及により、「VPNの利用を必須化」「私用デバイスでの業務を禁止」するポリシーを追加
  • 新しいSaaSツールの導入に伴い、「クラウドストレージのアクセス制御ルールを変更」

💡 業務環境が変わったら、それに合わせてポリシーもアップデート!

⑤ 監査や評価の結果を踏まえた改善時

内部監査・外部監査の結果をもとに、ポリシーの改善点を特定し、修正する
実際の運用状況をチェックし、守られていないルールを改善する

🚀 実践例

  • 監査で「アクセス管理ポリシーが不十分」と指摘され、アカウントの棚卸しプロセスを追加
  • 従業員アンケートで「ポリシーが分かりにくい」という意見が多かったため、分かりやすいガイドラインを作成

💡 現場で機能していないポリシーは、より実行しやすい形に修正する!

ポリシー見直しの進め方(5ステップ)

🚀 ① 現状分析 - ポリシーが実際に守られているか調査(従業員アンケート・監査)
- 最新の脅威や法規制の変更を確認

🚀 ② 改善点の特定 - インシデントや監査の結果をもとに、ポリシーの弱点を洗い出す
- 「どのルールを変更・追加・削除すべきか」を整理する

🚀 ③ 修正案の作成 - 新しいルールを策定し、必要に応じて専門家や経営陣と協議
- 具体的な手順(Procedure)まで明文化する

🚀 ④ 社内承認&従業員への周知 - 修正ポリシーを経営層に承認してもらい、社内に正式発表
- 全従業員向けにトレーニングや説明会を実施

🚀 ⑤ 定期的なフォローアップ - 実際の運用状況を監視し、問題点があれば追加で修正
- 次回の見直し時期を決めて、継続的に改善

💡 「作っただけのポリシー」ではなく、「常に最新の状態に更新されるポリシー」にすることが重要!

まとめ

ポリシーは「作ったら終わり」ではなく、定期的に見直して更新する
見直しのタイミングは「定期チェック・インシデント後・法規制変更・業務変化・監査結果」の5つ
見直しの際は、現場の実態に合ったルールに修正し、従業員にしっかり周知する

Best regards, (^^ゞ