なぜ、「セキュリティポリシー」が必要なの?――自社のセキュリティポリシーを一度も読んだことがない方へ:セキュリティ、いまさら聞いてもいいですか?(6)(3/4 ページ)
セキュリティ関連のキーワードについて、とことん基礎から解説する本連載。第6回のテーマは、「セキュリティポリシー」です。「人的要因」によるセキュリティ事故を防ぐためのポリシーの策定・運用・変更のポイントについて解説します。
ポリシーだけ定めても、運用できなければ意味がない
セキュリティポリシーの策定が必要であることは分かりました。でも、正直に言うとポリシーだけ定めたってどうせ効果はないと思ってしまいます。
その通りです。定めたセキュリティポリシーは、PDCAサイクルに沿って実際に運用できなければ、無用の長物になってしまいます。
事実、情報漏えい事件を起こしてしまった多くの企業には、セキュリティポリシーが存在しました。しかしながら、実際には「社員がポリシーを守らなかった」ことが原因となった事件が多く発生しているのです。ポリシーやルールが順守されていない理由としては、「そもそも読んだことがない」あるいは「読みはしたが内容が分からなかった」といったことが考えられるでしょう。
セキュリティポリシーは、「制定した」だけでは意味がありません。制定した内容に従って、運用することが重要です。そして、運用上の問題点があればポリシー自体も常に改善していかなければなりません。
つまり、「PDCA(Plan、Do、Check、Act)」のサイクルを回すことが重要です。一度決めたルールであっても、それが順守されているかどうか、定期的にチェックを行い、必要に応じて指導・教育していく必要があります。
チェック、指導の対象はセキュリティ担当者だけで十分ですよね?
全ての従業員がポリシーを順守しなければ、セキュリティを維持することはできません。
セキュリティはよく城壁に例えられます。全体として強固な作りになっていても、たった一箇所弱い部分があると、そこが狙われてしまいます。社員全員がセキュリティに対する意識を高めないと、せっかく定めたセキュリティポリシーも全く意味のないものになってしまいます。ぜひ、自社のセキュリティポリシーを確認してみてください。
Quiz:セキュリティポリシーを変更ときのポイントは?
次ページからは、セキュリティポリシー見直しのポイントを紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.
Security & Trust 記事ランキング
- 「キミの部門で一番重大なセキュリティ脅威は何かね?」から始める“いまさら”アタックサーフェス管理のススメ
- 無料で「ランサムウェアへの対応方法」を学び、学ばせることも可能な演習用教材 IPAが公開
- 2025年の世界のセキュリティ支出は12.2%増加、支出が増加する業界は? IDC
- SASEが成長の原動力、2024年ネットワークセキュリティ市場シェア2位はFortinet、1位は? Omdiaレポート
- IPA「AIセーフティに関するレッドチーミング手法ガイド」改訂 何が変わったのか
- 米国政府からの支援打ち切りを受け、CVE財団が発足 CVEプログラムの長期的な存続など狙い
- セキュリティとプライバシーの専門家の約半数が、従業員の個人情報や非公開データを生成AIに入力 Cisco調査
- 経験豊富なハッカーからサイバー犯罪の初心者まで網羅する「VanHelsing」の脅威が拡大中 チェック・ポイント・ソフトウェア・テクノロジーズ
- Microsoft、「Security Copilot」でインシデント対応を支援する11のAIエージェントを発表 どう役立つのか
- 年3回? 4回? 標的型攻撃メール訓練の効果を最大化する「黄金ルール」とは LRMが調査