用語集 › 🔒 セキュリティ › セキュリティポリシー
【せきゅりてぃぽりしー】

セキュリティポリシー とは?

💡 組織の情報を守る「ルールブック」
📌 このページのポイント
セキュリティポリシーの階層構造 基本方針 経営層が策定 対策基準 何を守るか・どのレベルで守るか (ルールと基準) 実施手順 具体的な手順書・マニュアル (パスワード変更手順、インシデント対応手順 など) ← 抽象的 ← 具体的 組織のセキュリティに対する基本的な考え方と具体的な行動指針を体系化したもの
セキュリティポリシーの階層イメージ
ひよこ ひよこ

3階層構造って?

ペンギン先生 ペンギン先生

①基本方針(ポリシー):「当社は情報セキュリティを最重要経営課題と位置付ける」のような宣言的な方針。②対策基準(スタンダード):「パスワードは12文字以上」「90日ごとに変更」のような具体的な基準。③実施手順(プロシージャ):「パスワードの変更手順はこの画面から…」のような操作手順。上から順に抽象→具体になるよ

ひよこ ひよこ

誰が作るの?

ペンギン先生 ペンギン先生

基本方針は経営層(CISOや取締役会)が策定・承認する。対策基準と実施手順は情報セキュリティ委員会やIT部門が作成することが多いよ。ただし現場の実態とかけ離れたルールは守られないから、現場の意見を取り入れることが重要だね

ひよこ ひよこ

形骸化しないコツは?

ペンギン先生 ペンギン先生

①定期的な見直し(少なくとも年1回)、②全社員への教育・周知、③遵守状況の監査、④インシデント発生時のポリシーへの反映。特に「ルールが実態に合っているか」の確認が大事。古いルールのせいでシャドーITが増えることもあるからね

ひよこ ひよこ

中小企業でも必要?

ペンギン先生 ペンギン先生

絶対に必要だよ。大企業のような分厚い文書でなくてもいい。「メールの添付ファイルにはパスワードをかける」「退職者のアカウントは即日削除する」「USBメモリの使用は禁止」のような最低限のルールだけでもまず作ることが大切。IPAが中小企業向けのテンプレートを公開しているから活用するといいよ

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「セキュリティポリシー」って出てきたら「組織の情報セキュリティに関するルール体系」と思えればだいたいOK!
📖 おまけ:英語の意味
「Security Policy」 = セキュリティ方針
💬 Policy(方針・政策)。個人の判断に頼らず、組織として統一されたルールで情報を守る仕組みだよ
🔗 あわせて読みたい
← 用語集にもどる