セキュリティの基本ポリシーができても、PCなどの情報資産をどのようなルールで利用し、管理するかを決めなければ、肝心の情報を保護することはできない。その規定作りを考える。
前編「有事のために……ポリシー作りのキホンを伝授」ではセキュリティポリシーの枠組みとなる、「基本セキュリティポリシー」の作成までを行った。今回は、その下位ポリシーとなる各企業資産の「利用規定」を作成したい。
まず始めに、セキュリティポリシーで保護すべき資産をリストアップしなければならない。以下に一般的に想定される項目を挙げておく。
上記に関して、
という視点でチェックし、利用規定で取り扱う資産をリストアップする。
資産をリストアップしたら、早速個々の利用規定を策定していきたい。各利用規定は同じ様式で、一部では重複し、また一部では似通った内容になるだろう。だが各利用規定において、少なくとも以下に挙げる項目について記載すべきである。
上記のほかにも良い項目を思い付いたら、適宜付加してほしい。また、簡潔な文章で回答しつつ、かつ誤解が生まれないような言い回しが必要である。
では、ここからは具体的に掘り下げていこう。資産のリストアップが終了し、以下に挙げた各利用規定が必要だと仮定する。
規定 | 内容 |
---|---|
PC利用規定 | 従業員または契約社員の利用するPCに関する利用規則 |
電子メール利用規定 | 電子メールの利用の仕方に関する規則 |
Webアクセス利用規定 | 使用Webブラウザや閲覧サイト、または掲示板への書き込みなどの制限に関する規則 |
モバイル端末、ポータブルストレージに関する規則 | PDAやストレージデバイスに関する規則 |
リモートアクセス利用規定 | アクセスできる人とアクセス方法に関する規則 |
インターネットゲートウェイ利用規定 | ルータ、ファイアウォールなどのアクセス制御に関する規則 |
サーバ利用規定 | サーバの目的、管理に関する規則 |
無線機器利用規定 | 無線機器のリストアップ、無線アクセスポイントの管理と利用者に対する規則 |
障害対応に関する規定 | 障害の規定とその際の対応に関する規則 |
以上の必要な項目は既に挙げたので、各項目に沿って作成していこう。やみくもに進めるよりは、「質疑応答」形式で進めていくと分かりやすい。そのためには、どのような質問が考えられるかを検討する。
以下、その質問例を列挙するので、これらをチェックリストとして活用していただきたい。
無線機器に関しては、まず対象となる無線機器(携帯電話、PDAなど)をリストアップしてから、個々の無線機器の利用頻度に応じてデバイスごとに定義していかなくてはならない。
障害対応規定には、ほかの利用規定とは異なり、法的な問題が絡む場合がある。従って、障害発生の最中に取るべき行動についての規定が必要になるので、例えば次のような注意事項を周知徹底させておくべきである。
先に述べたように、上述の質問集に「事業上必要か」という観点を持って応答していくことで、事業に必要な利用規定の青写真を手に入れることができる。それは、正式な利用規定の下書きになるはずである。
それでは最後に、次のステップに向けた、2つの注意点を挙げておこう。
第一に、これで作業が終了したと思わないこと。出発点に立ったにすぎない。手に入れた青写真を今後洗練し、満足できるレベルにしていく必要がある。さらに、その上で定期的に見直さなければならない。批判的な視点で、「何が正しいか」「何が悪いか」「何を修正しなければならないか」「何を廃棄するか」と問い続けることが大切である。
第二に、ポリシーすべてについて無駄だと考えないこと。結果はどうあれ、少なくともセキュリティポリシーを作成する作業によって、始める前に比べて何か大きく前進しているはずである。多くの質問に回答することで、セキュリティポリシーが何をするべきか、企業が何を必要としているかを学んだのだ。
いずれにせよ、作業がいったん終了したら、2〜4週間を置いてから新たな気持ちで見直すこと。セキュリティポリシーを所有するには、定期的な手入れが必要である。ビジネス要求の変化に対応するための、見直し作業も忘れずに。
Producing Your Network Security Policy
Frederick M. Avolio
Avolio Consulting
Steve Fallin D. Scott Pinzon
WatchGuard Technologies, Inc.
メーカーやベンダーでファイアウォールを中心としたセキュリティ製品の検証や導入支援に従事し、現在ウォッチガードにおいてUTM製品のエンジニアリングを担当。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
Omnicomが Interpublic Groupを買収 世界最大級の広告会社が誕生へ
OmnicomがInterpublic Group(IPG)を買収する。これにより、世界最大の広告会社が誕生し...
インテントデータ×キーエンス出身者のノウハウで実現 ABMを先に進める最先端の営業手法とは?
ユーソナーとGrand Centralは提携し、営業売り上げ拡大のためのBPOパッケージを提供開始...
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2024年12月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...