セキュリティポリシーが必要な理由のひとつに

　リスク分析の手法には、大きく分けて詳細リスク分析とベースラインアプローチがあります。これらのやり方については、いろいろな文献やインターネットでも紹介されているので今回のコラムでは、詳しい説明は割愛します。

　弊社では、年に一度は情報資産の見直しとリスク分析を義務付けています。情報資産については、必ず詳細リスク分析を行うので、情報資産の資産価値とそれに対する脅威、脆弱性を洗い出してリスク分析し、セキュリティ対策の必要性を導き出します。また、ここで必要性がある場合は、どんなセキュリティ対策が有効なのか、セキュリティ対策がユーザにどの程度負荷をかけるか、対策費用はどれだけかかるか、といったセキュリティ対策の「有効性」「実効性」「費用体効果」を測定していきます。

　言葉で書くと、簡単ですが実際の作業は結構時間がかかります。特に「有効性」、「費用対効果」については、机上論で進められますが、「実効性」については、今まで実施していた業務をやめるというようなユーザの負荷が軽減する対策はレアケースです。実際にはユーザの業務に負荷がかかる対策が多いので、現場のユーザの協力が不可欠です。「今後は、こういうやり方に変えてください。」という指示を出すだけでは不十分で、できれば現場のユーザに対策案を考えてもらうのが理想的です。

　たとえば、機密情報扱いにしていた情報を、今までは同一の場所だけで扱っていたので紛失や盗難の恐れ（脅威）が低かったとします。しかしある事情で、今後その機密情報を違う場所に移動しなければならなくなり、紛失や盗難の脅威が高くなった場合を考えてみます。このようなケースでは、新しく業務の手順が発生したケースなので、セキュリティポリシーで手順をルール化されていない場合が多くなります。セキュリティポリシーで手順がルール化されていれば、それに従えばいいのですが、ルール化されていない場合は「本当に機密情報を移動させなければならないのか」といった根本的な検討から「紙の情報で移動する必要性など」を検討し、最小の手間と最小の費用で、最大のセキュリティ効果がある方法を考えます。その結果、「社員が持ち運ぶ」ということになるのか、「鍵のかかるバッグに入れてバイク便で運ぶ」になるのか、「紙はやめて、暗号化したデータで送信する」になるのかは、機密情報の種類や、トップの考え方によりケースバイケースで決定すると思います。

　セキュリティポリシーの策定が、なぜ必要なのかという理由のひとつを書きたかったのが今回のコラムの趣旨です。まず、セキュリティポリシーに手順までルール化されていると、そのルールを守ることにより、どの部門でも誰でも均一のセキュリティが保てること。また、定期的に見直すことにより、新しい脅威を発見し、有効なセキュリティ対策を実施することができるということです。みなさんの会社や組織では、セキュリティに対する対策が、担当者に「お任せ」になっていませんか？