情報セキュリティポリシー
情報セキュリティポリシーとは
Section titled “情報セキュリティポリシーとは”組織が情報セキュリティに取り組むとき、「何を、どのように守るのか」を明文化したルールが必要になります。この組織全体のセキュリティに関する方針やルールをまとめた文書を情報セキュリティポリシー(情報セキュリティ方針)と呼びます。
情報セキュリティポリシーがない組織では、部署ごとに対策がバラバラになったり、担当者が変わるたびにルールが曖昧になったりします。ポリシーを策定し全社員に周知することで、組織として統一された対策を実施できるようになります。
情報セキュリティポリシーの3階層構造
Section titled “情報セキュリティポリシーの3階層構造”情報セキュリティポリシーは、一般に次の3つの階層で構成されます。上位の文書ほど抽象的・方針的な内容になり、下位にいくほど具体的・実務的な内容になります。
| 階層 | 名称 | 内容 | 策定する人 |
|---|---|---|---|
| 第1層 | 基本方針 | 経営陣のセキュリティに対する取り組み姿勢や基本的な考え方 | 経営層 |
| 第2層 | 対策基準 | 基本方針を実現するために守るべき具体的な規則・基準 | 情報セキュリティ担当部門 |
| 第3層 | 実施手順 | 対策基準に従って実際に行う操作手順やマニュアル | 各部門・担当者 |
たとえば、「顧客の個人情報を適切に保護する」というのが基本方針に当たります。「個人情報へのアクセスは担当者のみに制限し、アクセスログを記録する」が対策基準、「毎朝ログイン時にIDカードと指紋認証で本人確認を行い、退社時に端末をロックする」が実施手順にあたります(認証の仕組み自体は認証技術で詳しく解説)。
試験で出るポイント
最上位の情報セキュリティポリシ(基本方針)に記載するのは「経営陣のセキュリティへの取り組み姿勢」です。具体的な手順やマニュアルを記載するのは最下層の「実施手順」です。過去問でも繰り返し問われているため、各階層に何を書くかを正確に押さえましょう。
情報セキュリティの要素との関係
Section titled “情報セキュリティの要素との関係”情報セキュリティポリシーは、情報セキュリティが守るべき要素を踏まえて策定されます。基本となるのは機密性・完全性・可用性の3つ(CIA)で、さらに真正性・責任追跡性・否認防止・信頼性を加えた7つの要素があります。ポリシーでは、これらの要素をどのように確保するかの方針を定めます。各要素の詳しい解説は「情報セキュリティの概念」のページで説明しています。
情報セキュリティリスク
Section titled “情報セキュリティリスク”情報セキュリティリスクとは、情報資産に対する脅威が発生した場合に、組織が被る可能性のある損害や影響のことです。
リスクは「脅威」と「脆弱性」の組み合わせで生まれます。たとえば、「社員がフィッシングメールに引っかかる可能性(脅威)」と「セキュリティ教育が不十分という弱点(脆弱性)」が重なると、情報漏えいのリスクが高まります。
組織はこうしたリスクを特定し、影響の大きさや発生の可能性を評価したうえで、対策の優先順位を決定する必要があります(具体的な手法はリスクマネジメントで解説しています)。
リスクコミュニケーション
Section titled “リスクコミュニケーション”リスクに関する情報を、経営層・担当者・従業員・取引先など、すべての関係者の間で共有し、対応について意見を交わすことをリスクコミュニケーションといいます。
セキュリティ対策は情報システム部門だけの仕事ではありません。経営層がリスクの重要性を理解し、現場の従業員がルールを守る意識を持つためには、関係者間でリスク情報を共有し、共通認識を持つことが欠かせません。リスクコミュニケーションにより、組織全体でセキュリティ意識を高めることができます。
情報セキュリティインシデント
Section titled “情報セキュリティインシデント”情報セキュリティインシデントとは、情報セキュリティに関する事故やトラブルのことです。セキュリティポリシーに違反する事態や、セキュリティ上の脅威が現実化した事象を指します。
具体的には、次のようなものが情報セキュリティインシデントに該当します。
- ウイルス感染によるシステム停止
- 不正アクセスによる情報漏えい
- 従業員によるデータの持ち出し
- ノートPCやUSBメモリの紛失・盗難
- サービス妨害攻撃(DoS攻撃)によるWebサイトのダウン
インシデントが発生した場合は、被害の拡大を防ぐための初動対応、原因の調査、関係者への報告、再発防止策の実施といった一連の対応が求められます。
継続的改善(PDCA)
Section titled “継続的改善(PDCA)”情報セキュリティポリシーは、一度策定して終わりではありません。新しい脅威が次々と登場し、組織の環境も変化するため、継続的改善が不可欠です。
改善の手法として広く使われるのがPDCAサイクルです。情報セキュリティにおけるPDCAは次のように回します。
| フェーズ | 内容 | セキュリティでの具体例 |
|---|---|---|
| Plan(計画) | セキュリティポリシーや対策計画を策定する | リスクを評価し、ポリシーや対策基準を作成する |
| Do(実行) | 計画に基づいて対策を実施する | セキュリティ教育の実施、システムへの対策導入 |
| Check(点検) | 対策の効果や問題を確認する | セキュリティ監査の実施、インシデントの分析 |
| Act(改善) | 問題点を見直し、改善する | ポリシーの見直し、新たな対策の追加 |
このサイクルを繰り返すことで、セキュリティ対策の水準を段階的に高めていきます。
試験で出るポイント
PDCAサイクルはセキュリティ分野に限らず、ITパスポート試験全体で頻出のテーマです。「P→D→C→A」の順番と各フェーズの意味を確実に覚えましょう。
個人情報保護
Section titled “個人情報保護”個人情報とは
Section titled “個人情報とは”個人情報とは、氏名、住所、生年月日、メールアドレスなど、特定の個人を識別できる情報のことです。顔写真や社員番号のように、他の情報と照合することで個人を特定できるものも含まれます。
企業は事業活動を通じて大量の個人情報を取り扱います。顧客データ、従業員の人事情報、会員登録情報などがその例です。これらの情報が漏えいすると、本人に多大な被害を与えるとともに、企業の信頼も大きく損なわれます。
個人情報保護の安全管理措置
Section titled “個人情報保護の安全管理措置”個人情報を適切に保護するために、組織が講じるべき対策を安全管理措置といいます。安全管理措置は、以下のような観点から総合的に実施します。
| 措置の種類 | 内容 | 具体例 |
|---|---|---|
| 組織的安全管理措置 | 体制やルールの整備 | 個人情報管理責任者の設置、取扱規程の策定 |
| 人的安全管理措置 | 従業員への教育・監督 | 定期的なセキュリティ研修、守秘義務契約 |
| 物理的安全管理措置 | 物理的な環境の保護 | サーバルームの入退室管理、書類のシュレッダー処理 |
| 技術的安全管理措置 | IT技術による保護 | アクセス制御、データの暗号化、ログ管理 |
プライバシーポリシー(個人情報保護方針)
Section titled “プライバシーポリシー(個人情報保護方針)”プライバシーポリシー(個人情報保護方針)とは、組織が個人情報をどのように収集・利用・管理・保護するかを対外的に宣言する文書です。
多くの企業のWebサイトには、プライバシーポリシーが掲載されています。利用目的、第三者への提供の有無、問い合わせ窓口などが記載されており、利用者が安心してサービスを利用できるようにする役割を果たしています。
情報セキュリティポリシーが「組織内部のセキュリティルール」であるのに対し、プライバシーポリシーは「個人情報の取り扱いに関する対外的な宣言」であるという違いを押さえておきましょう。
試験で出るポイント
情報セキュリティポリシーとプライバシーポリシーは名前が似ていますが、目的と対象が異なります。「セキュリティポリシー=組織内部のルール」「プライバシーポリシー=個人情報の取り扱いに関する外部への宣言」と区別して覚えましょう。
サイバー保険
Section titled “サイバー保険”近年、サイバー攻撃による被害が深刻化する中で注目されているのがサイバー保険です。
サイバー保険とは、サイバー攻撃や情報漏えいなどのセキュリティインシデントが発生した際の損害を補償する保険のことです。具体的には、次のような費用が補償の対象になります。
- 事故対応にかかる調査費用
- 被害者への損害賠償金
- システム復旧にかかる費用
- 事業停止中の利益損失
技術的な対策をどれだけ講じても、サイバー攻撃を完全に防ぐことは困難です。万が一のインシデント発生時に、組織が受ける経済的な損害を軽減する手段として、サイバー保険はリスクへの備えの一つとして位置づけられています。
試験で出るポイント
サイバー保険は「リスクの移転(リスクを保険会社に転嫁する)」の代表例です。リスク対応の種類(回避・軽減・移転・受容)と合わせて理解しておくとよいでしょう。
過去問で実力チェック
Section titled “過去問で実力チェック”過去問に挑戦
Q. 1年前に作成した情報セキュリティポリシについて,適切に運用されていることを確認するための監査を行った。この活動はPDCAサイクルのどれに該当するか。
- ア P
- イ D
- ウ C
- エ A
解答(令和元年)
正解: ウ
Q. 内外に宣言する最上位の情報セキュリティポリシに記載することとして,最も適切なものはどれか。
- ア 経営陣が情報セキュリティに取り組む姿勢
- イ 情報資産を守るための具体的で詳細な手順
- ウ セキュリティ対策に掛ける費用
- エ 守る対象とする具体的な個々の情報資産
解答(令和元年)
正解: ア
Q. 電子メールの内容が改ざんされていないことの確認に利用するものはどれか。
- ア IMAP
- イ SMTP
- ウ 情報セキュリティポリシ
- エ ディジタル署名
解答(令和元年)
正解: エ
Q. 情報セキュリティポリシーを,基本方針,対策基準,実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
- ア 基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
- イ 実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
- ウ 対策基準は,ISMSに準拠した情報セキュリティポリシーを策定するための文書の基準を示したものである。
- エ 対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
解答(令和4年)
正解: ア
Q. 情報セキュリティにおける認証要素は3種類に分類できる。認証要素の3種類として,適切なものはどれか。
- ア 個人情報,所持情報,生体情報
- イ 個人情報,所持情報,知識情報
- ウ 個人情報,生体情報,知識情報
- エ 所持情報,生体情報,知識情報
解答(令和5年)
正解: エ
Q. PDCAモデルに基づいてISMSを運用している組織の活動において,次のような調査報告があった。この調査はPDCAモデルのどのプロセスで実施されるか。
社外からの電子メールの受信に対しては,情報セキュリティポリシーに従ってマルウェア検知システムを導入し,維持運用されており,日々数十件のマルウェア付き電子メールの受信を検知し,破棄するという効果を上げている。しかし,社外への電子メールの送信に関するセキュリティ対策のための規定や明確な運用手順がなく,社外秘の資料を添付した電子メールの社外への誤送信などが発生するリスクがある。
- ア P
- イ D
- ウ C
- エ A
解答(令和5年)
正解: ウ
Q. 企業において情報セキュリティポリシー策定で行う作業のうち,次の作業の実施順序として,適切なものはどれか。
a 策定する責任者や担当者を決定する。
b 情報セキュリティ対策の基本方針を策定する。
c 保有する情報資産を洗い出し,分類する。
d リスクを分析する。
- ア a → b → c → d
- イ b → a → c → d
- ウ a → b → d → c
- エ b → a → d → c
解答(令和6年)
正解: ア