PR

 情報セキュリティ・ポリシーの重要性は今さら言うまでもないだろう。そのなかでも特に重要なのが,セキュリティを維持するための具体的手順を記載した「手順書(プロシージャ)」だ。にもかかわらず,手順書の重要性や作成手順が語られることは少ない。そこで今回の記事では,セキュリティ・ポリシーの手順書について解説する。

現場で参照される手順書の重要性

 3~4年ほど前から,企業におけるセキュリティ対策の重要性が強調され始めた。と同時に,対策を実施するには,「情報セキュリティ・ポリシーを策定し,それに基づいた情報セキュリティ・マネジメントが必要である」と言われるようになった。情報セキュリティ・ポリシー(単に「セキュリティ・ポリシー」と呼ばれることも多い)とは,企業/組織における情報の取り扱いについてのルールや,責任の所在などを明文化した文書のことである。

 実際には,情報セキュリティ・ポリシーは「ただ一つの文書」ではなく,(1)「基本方針(ポリシー)」,(2)「管理策(スタンダード)」,(3)「手順書(プロシージャ)」――と呼ばれる3つの階層で策定する。つまり,3種類の文書(群)が存在することになる。

 基本方針とは,「どのようにセキュリティ対策に取り組むか」といったその企業の方針を,経営者(トップ)が明文化したものである。管理策は,ISMSで定義されている管理策をベースに,企業に必要な管理策を決めたものである。そして手順書は,管理策を実行するときの手順を明確化したものである。つまり,基本方針をブレイク・ダウンしたものが管理策になり,管理策をブレイク・ダウンしたものが手順書になる。

 システム運用者や一般の社員が日常業務をこなす際に参照するのは,この手順書になる。もちろん基本方針や管理策も重要だ。だが,一般ユーザーにとっては,実際に参照する手順書が最も重要なものとなる。いくら大層な基本方針を掲げても,手順書がおろそかでは,現場レベルでのセキュリティは維持されない。

企業でそれぞれ異なる手順書

 さて,我々セキュリティ・コンサルタントが,企業から情報セキュリティ・ポリシーの策定を依頼された場合,一般的には,企業が保有する情報資産を明確にしてリスク分析を行い,基本方針と管理策を作成するところまで実施する。手順書まで作成することはあまりない。

 手順書については,企業のセキュリティ対策部門(例えば,情報システム部)が作成する場合が多い。ポリシー作成以前から利用されている運用手順書をそのまま使うことも多い(ここでの運用手順書というのは,企業内のセキュリティ・システムを構築したベンダーが作成した操作説明書などが該当する)。

 まず,手順書が一切存在しない場合,セキュリティ対策部門が一から手順書を作成する必要がある。大変な苦労である。しかし,手順書については,企業によって記述が異なるので,一般的な“解”は存在しない。自分たちでまとめる必要がある。

 ベンダーが作成した操作説明書を手順書として使う場合には,システム管理者用の手順書を改めて作成する必要はない。だが,さまざまなベンダーがシステムを構築している場合,統一した手順書にはなっておらず,それぞれ独自のフォーマットで記述されている。そして,新たなセキュリティ・システムを導入する時には,また新たな運用手順書を作成する必要が生じる。

 また,いずれの場合でも問題なのは一般ユーザー向けの手順書(説明書)である。例えば,「電子メールを利用する際の注意点」などをまとめた文書を作るのは,なかなか難しい。さまざまな環境が混在する企業では,特に大変である。

 とはいえ,手順書は,管理者や一般ユーザーが直接参照するものである。統一したフォーマットで,分かりやすい内容の手順書を,いつでも参照できる形で用意しておくことは,企業のセキュリティ・レベルを維持するには不可欠だ。

手順書作成の具体例

 実際の手順書は,2種類に大別できる。1つは,システムを運用/管理する人のための手順書である。もう1つは,システムを利用する人のための手順書である。今回は,後者,すなわち一般ユーザー向けの手順書を考えてみたい。