本連載では、「情報セキュリティガバナンス」や「ITガバナンス」の中でもセキュリティ対策に関わる部分を全社的・グローバルに、かつスピーディーに企業へ展開できるガバナンスモデルについて解説する。
前回の記事では、ITセキュリティガバナンスの定義について説明した。今回は、実際にITセキュリティガバナンスを導入する上での準備に向けて、「ポリシーの定義」と「ガバナンス・管理方式」を説明する。
ITセキュリティポリシーの定義
ポリシー適用の企業としての範囲
最初に決めなければいけないのは、「企業や組織としてITセキュリティで守らなければいけない企業の範囲」を明確化にすることである。グループ会社や子会社、海外拠点などがある場合にはこの範囲を必ず明確にしなければならない。
このポリシーの適用範囲の定義は、以下のような範囲を参照して決める場合もある。
ただし、この定義は企業や組織内での組織および体制が複雑で最初に決められないケースも存在する。その場合には、どの範囲まで「ITセキュリティガバナンスの適用を検討するか」を決めた上でポリシー定義を進めていき、ポリシーの検討の中で範囲を明確にしていくステップを踏んだ方が良いだろう。
ポリシーのカバーする運用フェーズの決定
次に決めなければいけないポイントは、「運用フェーズ」のどこをカバーするかを明確にしておく点になる。下は、米国標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)を抜粋、簡略化した図である。
「セキュリティで守る」と言っても、幾つもの工程やフェーズが存在するため、ハイジーン(衛生)領域(特定・防御・検知)とレジリエンス(復元)領域(検知・対応・復旧)のカテゴリーの中で、どの領域のポリシーを定義するのかを明確化する必要がある。
特定カテゴリーの運用項目の中で、既に一部ポリシーが決まっている場合は、既存のポリシーを更改して、部分的に流用する方法もある。
ポリシー適用の対象の決定
次に、ポリシーを決める上で定めなければいけないのは「何を守るのか?」だ。このポリシーの適用対象を明確に決めておかなければ、この後に決めていくポリシーの内容や方法を決めることができない。
ここで重要なのは、ITセキュリティポリシーの適用範囲を「IT機器全て」と定義してしまうのを避けなければいけないことだ。なぜなら、「IT機器全て」という定義は、人によって解釈が異なることがあるためである。PCやサーバー、ネットワーク機器などはIT機器として判断されると思うが、複合機やプリンターといった事務機器はIT機器に含まれないケースも多々存在する。また、モニターなどについても、IT機器ではあるが、ITセキュリティ対策が施せない機器についても除外する場合もある。
適用対象のサンプル
なお、今回のITセキュリティポリシーの定義では、最初のステップであるインフラの物理的な機器やソフトウェアなどを対象としたポリシーの定義を前提として進めていく。データやIDに関するITセキュリティポリシーについては別の機会で触れてみたいと思う。
