お客様の「保有する情報資産」や「ネットワークやシステムの構成」、「情報セキュリティの浸透度」などを踏えて、従業員の皆様が理解し、実行がしやすい『情報セキュリティポリシー』の策定と運用をご支援いたします。
また 『情報セキュリティマネジント』を定着させるための「情報セキュリティの浸透度」評価およびアドバイスの実施、評価の分析結果にもとづくオーダメードの情報セキュリティ教育・研修も承ります。

こんなお困りごとも解消できます

 情報セキュリティへの対策と言われても、何から行えば良いかわらない。

 情報セキュリティ対策とは、情報資産を脅威や危険から守ることです。そのため「こんな脅威や危険があるから/ありそうだから」といったリスクを洗い出し、その低減や回避方法を定めて運用することをリスクアセンスメントと言い、情報セキュリティ対策の肝となります。
本ページでは、情報資産の概説から、リスクアセンスメントを中心とした『情報セキュリティポリシー』策定の流れの概要をまとめておりますので、ご一読をお願いいます。当社では、本ページの流れに沿って『情報セキュリティポリシー』の策定と運用をご支援いたします。

 自社の情報セキュリティに対する浸透度が知りたい。

 セキュリティチェックシートなどを用いた現状の『情報セキュリティポリシー』点検や、従業員の皆様へのセルフチェックリストやインタビュー等を用いた情報セキュリティに対する浸透度の把握のご支援をいたします。
またセルフチェックリスト集計結果等から情報セキュリティ浸透度の傾向を分析し、従業員の皆様が理解し、実行がしやすいオーダメードの『情報セキュリティポリシー』の策定と運用をご支援いたします

自社の実態に合った、情報セキュリティの教育・研修の企画と実施を任せたい。

 情報セキュリティ浸透度の分析結果等から、ITコーディネータが貴社の実態に合わせて、情報セキュリティの教育・研修の企画と実施をいたします。

情報セキュリティの3要素

情報セキュリティ

企業や組織における情報セキュリティとは、
情報セキュリティとは、企業の情報システムを取り巻くさまざまな脅威から、情報資産を機密性・完全性・可用性(3要素)の確保を行いつつ、正常に維持することです。

情報資産とは、
企業を形作り動かすための基本要素として、「人」「物」「金」が挙げられ、「経営資源」と呼ばれます。情報は第4の経営資源とも呼ばれる大事な要素です。
企業は物を作ったり、販売したり、サービスを 提供したりする中で付加価値を生み、その対価を得ることで成り立っています。その企業活動は情報によって企画され管理されます。お客様の情報、市場の情報、仕入先の情報、生産管理情報など、情報を的確に取り扱うことで正しい経営ができます。情報は、企業経営の根幹を成す重要な経営資源ということができます。それほど重要、という認識が必要です。

情報資産

その情報そのものと、情報を収集したり処理したり保管したりするための装置を情報資産といいます。
企業には、多くの情報資産が存在しており、それらは、コンピュータ、記録媒体、紙、または人の記憶や知識など、さまざまな形態をとります。ITの普及に伴い、情報資産の価値は、ますます高まっているといえます。

 機密性の確保

 正当な権利を持った人だけが、情報資産を使用できる状態にしておくこと
情報漏えい防止、アクセス権の設定、暗号の利用などの対策

 完全性の確保

 正当な権利を持たない人により、情報資産が変更されていないことを確実にしておくこと
改ざん防止、検出などの対策

 可用性の確保

 情報資産を必要なときに使用できること
電源対策、システムの二重化、バックアップ、災害復旧計画などの対策

引用:日本ネットワークセキュリティ協会(JNSA)
  『なぜ情報セキュリティ対策が必要なのか
   1-1 情報資産とは  
   2-1 情報セキュリティの3要素』 

情報セキュリティポリシー策定の流れ

1.策定の組織決定(責任者、担当者の選出)

情報セキュリティ_体制

 責任者を明確にして、情報セキュリティポリシー策定に携わる人材を組織化

 従業員全員が理解し、実行がしやすい情報セキュリティポリシーを策定するために、各担当に適切な人材を任命

 情報セキュリティポリシーの品質を高めるために、外部のコンサルタントや法律の専門家に参加を依頼することも検討

 組織内の者によって情報セキュリティポリシーを策定しなければ、その企業や組織に適した内容にすることが困難であるため、できるだけアドバイザなどの形で協力をしてもらうようにします。

2.現状レベルの確認

当社では、お客様にとって適切な情報セキュリティポリシーの策定が出来る様に、現状レベル確認をお勧めしています。

 セキュリティチェックシートなどを用いた現状の情報セキュリティレベルの把握。
現状の『情報セキュリティポリシー』の策定内容や運用に対する改善にも役立ちます。

 従業員の皆様へ情報セキュリティに対するセルフチェックリストなどを用いた浸透度の確認。
従業員の皆様が理解し、実行がしやすいオーダメードの『情報セキュリティポリシー』の策定に役立つだけでなく、従業員の皆様の行動に情報セキュリティが浸透する様に「ハンドブック」の作成にも役立ちます。

3.基本方針の策定

①次のポイントを盛り込んだ、「情報セキュリティに取り組む姿勢を取引先や従業員に宣言する文書」を策定します。

 なぜ情報セキュリティが必要であるのか(目的の明確化)

 情報セキュリティを適切に運用するためにどのような体制をとるのか(実現方針の宣言)

 情報セキュリティの維持、継続的改善はどのような方針で行うのか(維持・改善方針の宣言)

組織や企業の代表者が、企業理念に沿った方針であるかなどを確認し、承認します。

※「情報セキュリティ基本方針」に目的、適用範囲、維持管理体制、従業員の義務、違反および事故への対応などの具体的内容を反映し、ウェブサイトで公開する企業が増えています。

4.情報資産のリスクアセスメント

(1)情報資産の洗出しと分類(情報資産台帳作成)

企業や自組織の織の保有する情報資産を次のポイントで洗い出し、情報資産台帳として整理します。

情報資産のリスクアセスメント
①浄法資産の洗い出し

  • 情報資産には、「情報」そのもの以外にIT基盤を支えるサーバ、ネットワーク機器や利用するサービスも含めます。
②情報資産の洗い出し粒度

  • ひとつひとつの情報資産(例えば、各ファイル単位)を洗い出してもかまいませんが、グループ(例えば、顧客情報など)ごとに洗い出す方法もあります。グループごとにセキュリティ対策を検討することで、作業の効率化、効果的な情報セキュリティ対策が可能となります。
③情報資産の重要度

  • 情報資産の重要度は、情報セキュリティの特性(機密性/完全性/可用性、公開/社外秘/秘密)を考慮して決定します。
④脅威と脆弱性の洗い出し

  • 脅威とは、自然災害や外部からの攻撃と同様に、コントロールできないものです。脆弱性とは、その資産が持っている弱点です。
  • 脅威と脆弱性と資産価値が大きくなるとリスクは増加し、脅威と脆弱性と資産価値が減るとリスクは減少します。脅威のリスクコントロールはできませんので、コントロール可能な脆弱性と資産価値の大きさを変化させます。
  • 一般的には、資産価値を小さくする(不要な資産は持たないなど)か、脆弱性を小さくするかで検討します。

(2)リスク分析

①リスク分析と特定

  • リスクが発生した場合に、機密性、完全性、可用性の観点からどのような影響があるのかを分析します。
  • またリスクが発生する場合の発生源、頻度、状況についても分析します。
②リスクの算定

  • 特定されたリスクに対し、定量的にリスクを算定する。
    • [算定例 1] リスクの大きさ = リスクの発生頻度 × リスク発生時の損害額
    • [算定例 2] リスクの大きさ = 脅威の大きさ × 脆弱性の大きさ × 資産価値の大きさ

5.リスクへの対応

リスクへの対応

①リスク分析結果をもとに、それぞれのリスクのうち、受容レベルを超えるリスクに対し、どのように対応するかを決定します。
②決定したリスク対応から、具体的なセキュリティ管理策を策定します。
 ※リスクへの対応方法には、現実には実行不可能なもの、実行は可能だが費用のかかるものがあります。 そのためリスクの対応は、自組織が目指す経営方針、ビジネスの重要度とリスクの大きさを元に決定します。場合によってはリスク回避のため、ビジネスを止めるという対応も選択肢として考えます。

リスク対応例

対応事項 内容
リスクの回避 津波の発生する可能性のある場所の建物を所有しない。
リスクテイク 津波の発生する可能性は有るが、景観などを目的に、海辺の建物を所有する。
リスク源の除去 津波の原因である地震が発生する原因を取り除く。(現実には実行不可能)
起りやすさの変更 津波の原因である地震の発生頻度を変更させる。(現実には実行不可能)
結果の変更 堤防を高くする。(費用がかかる)
リスクの共有 災害保険に加入する
リスクの保有 津リスクがあることを認識し、状況を受け入れる。

6.対策基準の策定

リスク対応の結果から受容レベル以下になるよう、具体的なセキュリティ対策基準を決定します。
情報セキュリティ_ポリシーの文書構成
対象者 情報セキュリティポリシー
ポリシー層 ①情報セキュリティ基本方針
 情報セキュリティ方針
規定
共通層
②人的管理規程
④文書管理規程
⑤監査規程
⑦リスク管理規程
規定
各個別層
管理者向け ⑥物理的管理規程
⑨システム変更管理規程
⑩システム開発規程
⑪システム管理規程
⑫ネットワーク管理規程
利用者向け ⑬システム利用規程
⑭スマートデバイス利用規程
⑮SNS利用規程
利用者向け ③外部委託先管理規程
⑧セキュリティインシデント
 報告・対応規程

セキュリティポリシーの策定時のポイント

トップダウンによる周知・徹底

 情報セキュリティは会社の経営課題のひとつに捉えなければならない重要な事柄であること」という認識を深める。

 情報セキュリティポリシーを策定して運用するためには、多大な時間とコストが掛かること。

 規定を社員に遵守させるためには、罰則規定も必要となること。

策定時の留意事項

 情報資産を明確にする。

 対象者の範囲を明確にする。

 できる限り具体的に記述する。

 社内の状況を踏まえて、実現可能な内容にする。

 運用や維持体制を考えながら策定する。

 形骸化を避けるために、違反時の罰則を明記する。

情報セキュリティマネジメントの実施サイクル

情報セキュリティPDCA

情報セキュリティマネジメントを実施するにあたっては、まず計画段階として、情報セキュリティポリシーを策定します。しかし情報セキュリティポリシーは、一度文書化して策定するだけではあまり効果が期待できません。図のような情報セキュリティマネジメントの実施サイクル(PDCAサイクル)によって、実態に沿った内容になっているかを常にチェックし、絶えず見直し、改善を図ることが大切です。

情報セキュリティポリシーは、企業や組織の状況、新たな脅威、新しい法律の施行など社会的な状況によっても、定期的に見直さなければなりません。そのためにも、このようなサイクルを継続的に実施することで、常に適切なものにしておくことが大切です。