セキュリティポリシー:独り相撲はやめよう:Column
セキュリティポリシーの策定、導入を成功させるためには、経営トップから監査人、従業員までを、とにかく巻き込むことだ。
大多数の情報セキュリティ担当者にとって最も困難な仕事の1つが、情報セキュリティポリシーの策定、導入、適用である。セキュリティポリシーが必要であることは多くの企業が認めているものの、ポリシー問題に対処するためのプロジェクトに対して低い優先度、不十分なリソース、乏しい予算しか与えられないことは少なくない。多くの場合、情報セキュリティ担当者は、自分の裁量でポリシーを策定、導入し、スタッフを訓練し、ポリシーを適用しているのが実情だ。
多くの情報セキュリティ担当者は最近まで、セキュリティポリシーの重要性を認識しながらも、社内においてポリシーの優先度が低いという現実に甘んじていた。米国法令環境の変化(SOX、GLBA、HIPAAなどの法律の施行)に伴い、企業はもはや情報セキュリティポリシーの整備を後回しにするわけにはいかなくなった。このため、情報セキュリティ担当者も企業にアクションを促さなければならない。以下に、セキュリティポリシーに関して社内・社外から支援を取り付ける方法を幾つか紹介しよう。
経営トップを巻き込む
プロジェクトを迅速に推進するには、CEOやCFO(最高財務責任者)の支持を取り付けるのがいちばんだ。彼らの支持を獲得する上でカギとなるのは、セキュリティポリシーおよびポリシー適用の重要性を理解させることである。セキュリティポリシーは、従業員の行動の境界線、企業の資産を保護するためのインフラを構成する方法、そして企業がミッションクリティカルなデータをどのように防御し、セキュリティインシデントや災害の発生時にどう対処すべきかという指針を提供する。経営トップはセキュリティポリシープロジェクトを支持するだけでなく、自ら率先してポリシーに従わなければならない。経営トップが規則に従えば、従業員もそれに倣うものである。情報セキュリティ担当者は、現在の法令環境の下では、経営陣が企業の不正行為の責任を問われること、強力なポリシーを導入し、一貫性をもって適用することが不正行為を防止する上で有効な手段であることを経営トップに認識させる必要がある。
取締役会を巻き込む
今日、SOX法などもあり、十分なコーポレートガバナンスと監督を遂行していなければ、企業の取締役が責任に問われるようになった。経営トップの場合と同様、取締役会の支持を取り付ける上でカギとなるのはやはり教育だ。このため、セキュリティポリシープロジェクトとポリシー適用の状況、および法規制の動向に関する最新情報を取締役会に定期的に提供する必要がある。
監査人を巻き込む
社外監査人と話し合い、セキュリティポリシーの実施状況に関するガイダンスを求めること。ポリシーおよび運用手続きは、IT監査の重要な要素の1つである。監査人が期待するのは、適切かつ明確に記述され、適用可能な強力なポリシーである。また、監査人は貴重なリソースでもあり、彼らのアドバイスには経営陣も真剣に耳を傾けることが多い。監査人の一言で、プロジェクトを半年早く始められるかもしれないのだ。監査人がリソースや関係連絡先のリストを提供してくれたり、客観的立場に立ったご意見番としての役割を果たしてくれることもある。実際の監査に前に監査人の意見を聞き、それを取り入れるのが賢明だ。監査で不利になると、年度末の報告にも悪影響が及びかねないからだ。「友をそばに置け、だが敵はより近くに置け」(「ゴッドファーザー PART II」より)ということが重要なのである。
組織を巻き込む
セキュリティポリシーに関する支援を得るには、社内の各部門の代表者で構成される運営委員会を設立する必要がある。運営委員会には、IT、人事、経営、財務、社内監査、リスク管理の各部門の代表者を含めること。委員会が最も効果的に機能を果たせるように、組織内で意思決定をする立場にあるメンバーをスカウトすること。経営トップのお墨付きがあれば、委員会への参加を任意ではなくすことができる。運営委員会は定期的に会合を開き、ポリシーの内容およびその適用について議論しなければならない。ポリシーを一方的に指示するのではなく、委員会をプロセス全体に参加させ、最初からポリシーの作成と導入に携わるようにすべきである。委員会のメンバーがポリシーの必要性を理解すれば、彼らは最大の協力者になり、あなたに代わって組織全体でポリシーの普及を推進してくれるかもしれない。
信頼できる既存のリソースを活用する
多くのセキュリティ組織はWebサイトを持っており、そこで優れたセキュリティポリシーのリソースを公開している。例えば、SANSでは、Webサイトの一部をポリシー関連の問題に割り当て、サンプルテンプレートを提供している。セキュリティポリシーを公開している大学や専門学校も多く、こういったポリシーも大いに参考になる。
同業者と情報を交換する
セキュリティポリシーを作成、導入しなければならないのは、あなたの会社だけではない。このため、同業者や業界団体、あるいは地域/国立情報セキュリティ組織に相談するのも効果的だ。継続的に対話を行い、何がうまくいき、何がうまくいなないか、どういったことが悲惨な結果を招くのか、といったことについて話し合うこと。情報を共有するのを恐れてはならない。
従業員を訓練する
社内でのそれぞれの役割に応じて、すべての従業員に対してセキュリティポリシーのトレーニングを実施すること。誰も理解していないようなポリシーを適用することはできない。社内の各部門に対して、適切なトレーニング方法/教材を利用する。例えばIT部門であれば、ルータ構成などのハードウェアポリシーに関する具体的な技術知識が必要とされるのに対し、総務部門のスタッフに対しては、パスワードを変更する頻度やワークステーションに施錠する必要性などについて説明しなければならない。ただし、トレーニングは個々のポリシーだけに限定すべきではない。ポリシーがなぜ重要なのか、ポリシーは従業員と組織にどんな影響(そして恩恵)をもたらすのか、といった視点も忘れてはならない。自分たちが何をしなければならないのか、そして自社のセキュリティにどのように貢献できるのかを従業員に示すことは、ポリシーを守り、ポリシーの適用を支援しようというモチベーションの向上につながる可能性がある。
以上のアドバイスに従ったからといって、社内のすべての関係者から情報セキュリティポリシー/手続きに対する全面的な支持が直ちに得られることはないかもしれない。しかし、これらのアドバイスに従うことで、全社的な承認と支持を獲得できる情報セキュリティポリシーを導入するための強固なプランを確立できるだろう。また、これらのアドバイスを参考にすれば、情報セキュリティポリシーの策定、導入、適用を支援する強力な部隊を社内で確保できるかもしれない。
本稿筆者のハリス・ワイズマン氏は、ニューヨーク州北部に15の支店を持つ地方銀行、チェマングキャナルトラストで情報システムセキュリティマネジャーを務める。数社の大手会計事務所やコンサルティング会社でセキュリティコンサルタントとして勤務した経験もある。
Copyright © ITmedia, Inc. All Rights Reserved.