経営管理者自身がひとりの ITユーザとして気軽に読むことができる情報セキュリティに関する小冊子「情報セキュリティ読本」を発行しました。

セキュリティポリシーはなぜ必要か？

組織体において、情報セキュリティに関連した意思決定をすることがあります。まず、その組織体のセキュリティの目標を明確にすることなしには、よい意思決定をすることはできません。そのセキュリティの目標が何であるのか、「何をまもるのか」を明確にしないことには、有効にセキュリティツールを使いこなすこともできません。なぜならば、何をチェックすればよいのかわからないということですし、どのような制約を課するかがわからないということだからです。そこでセキュリティの目標事項を組織体の意思、すなわち「セキュリティポリシー」として取り決める必要があるのです。

各組織体のセキュリティポリシーの役割・機能は、その情報セキュリティ実践を指導するために、下記の事項を表明することにあります。

• 「何を保護するのか」、「その理由は何か」
• その保護に関する責任・体制： 「誰がその責任を負うのか」
• 将来発生するセキュリティ問題への対応

セキュリティポリシー立案の難しさ

セキュリティの目標は、下記のような相反する要素を考慮して設定しなければならない困難な作業です。

• (1) サービスの提供 VS セキュリティ
  ユーザが使用する個々のサービスは、それぞれに固有のセキュリティリスクをもっています。サービスによっては、そのリスクはそのサービスから享受できる便益よりも大きい場合がありますので、管理者がそれらにセキュリティ対策を施すのではなくそのサービスの停止を選択することもありえます。
• (2) 操作性 VS セキュリティ
  最も使い勝手がよいシステムというものは、どんなユーザにもアクセスを許容してしまい、パスワードは要求しないものでしょう。；つまりセキュリティのないものということでしょう。パスワードを要求することによって、システムは幾分面倒になりますが、安全にはなります。別デバイスでのワンタイムパスワードの生成を要求することによって、システムはさらに面倒になりますが、格段にセキュアになります。
• (3) セキュリティのコスト VS 損失のリスク
  セキュリティについては幾種類ものコストが発生します。金銭面（例 ファイアウォールやワンタイム パスワードジェネレータのようなセキュリティハードウェアとソフトウェアを購入するコスト）、性能（例えば、暗号・復号化には時間がかかります。）、操作性（既述）などがあげられます。また、いくつものレベルのリスクがあります。：プライバシーの侵害（例 承認されていない者が情報を読むこと）、データの喪失（例えば情報の破損や消失）、サービスが不能になる状態（例えば、データ保存スペースが満杯、計算資源の枯渇、ネットワークアクセスが不能。）、それぞれのタイプのコストは、それぞれのタイプの損失に照らして見積もらなければなりません。

セキュリティポリシー委員会

「セキュリティポリシー」と呼ばれる一連のセキュリティの目標・ルールの策定にあたって、各セキュリティの目標は、すべてのユーザ、運用スタッフ、それから管理者との間で意見交換される必要があります。
また、情報システム部門のみならず、総務／広報部門や調達部門も関与する必要がある場合もあるでしょう。そのためには、組織横断的な委員会によって調整・合意する必要があるといわれています。
そして、策定された「セキュリティポリシー」が組織体内の目標・価値観として浸透するためには、トップマネジメントの支持、その表明が不可欠であるといわれています。

参考文献：>> IETF RFC 2196 サイトセキュリティハンドブック　>> 2. セキュリティポリシー

• 平成15年度 「ISMS 2003 情報セキュリティ国際会議」における「GMITS & MICTS」
  スライド(100KB)
• 平成13年度 情報セキュリティセミナー「情報セキュリティマネジメント概論」
  スライド(100KB)　 スピーカーズノート (119KB)
  
• 「情報セキュリティ読本」
  本書は、コンピュータやネットワークを使用するユーザの方を対象に、情報セキュリティについての基本概念を分かりやすく説明したものです。また、企業の経営者や組織の運営者の方が、経営資産の一環として、あるいは社会基盤の一部として、情報セキュリティをどのように考慮するべきかについても触れています。
• 情報システム部門責任者のための情報セキュリティブックレット　 (2.02MB)
  

  企業等の組織体で情報システム部門の責任を負っている方々が、情報セキュリティに関する予算面で板ばさみ状態にあるといわれています。情報セキュリティの観点から、対策としてやらなければならないことが多いのに対して、十分な予算が獲得できていない実情があるようです。また、そのような責任者は通常、多忙であり、情報セキュリティを本格的に学習する時間にも確保しにくいという声を聞きます。
  

  IPA/ISEC では平成12年度、提案公募により、「情報システム部門責任者のための情報セキュリティブックレット」を作成いたしました。この電子小冊子の配布に制限はありません。ご活用ください。

• IETF RFC 2196 サイトセキュリティハンドブック

「情報セキュリティ マネジメントのガイドラインの解説」 ITX 2001

概要：
現在ISO/IEC JTC 1/SC 27 WG1 においては、情報セキュリティ マネジメントのガイドラインが作業項目になっている。ISO/IEC 17799 と GMITS(TR 13335)があるが、両者ともそれについて見直し作業が行われている。これらをその構造から解説し、最近の見直し検討状況を報告する。

• 論文：PDF ファイル（65 KB）
• プレゼンテーション ： PDF ファイル（120 KB）

情報セキュリティマネジメントの実践規範・ガイドライン」 第19回 IPA 技術発表会 （2000.10.12）

概要：
ISO/IEC JTC 1/SC 27 WG1 において審議されている、情報セキュリティ・マネジメントの実践規範としての BS 7799 と、IT セキュリティ・マネジメントのガイドラインとしての GMITSについて、その構造面から解説する。両者にはともに、各組織体における情報もしくはITシステムについて一定のセキュリティを確保するためのマネジメントに関して記述されている。

• 論文：PDF ファイル（65 KB）
• プレゼンテーション：PDF ファイル（120 KB）

• ISO/IEC JTC 1/SC 27：http://www.din.de/ni/sc27/
• JIPDEC (財) 日本情報経済社会推進協会：ISMS適合性評価制度：http://www.isms.jipdec.or.jp/isms.html