オピニオン

情報セキュリティ対策強化の第一歩は規程の見直しから

2024年02月26日　井手健史

１．はじめに
　多くの日本の上場企業が、2006年に施行されたJ-SOX法への対応として、2000年代後半、IT統制を目的に情報システム関連の規程を制定した。その一環として「情報セキュリティ基本方針」や「情報セキュリティ対策基準」など、情報セキュリティ規程も制定された。
　それから10年以上が経過したが、当時と情報システムの利用環境やセキュリティリスクの内容が大きく変化してきたにもかかわらず、情報セキュリティ規程について大幅な見直しを行っていない企業が散見される。
　情報セキュリティ対策は、技術的な対策だけでなく、組織全体でセキュリティ意識を高め、適切な行動をとることが重要である。セキュリティリスクに対応するための組織の行動指針を示すのが規程であるから、規程の見直しは組織のセキュリティ対策の第一歩であると言える。
　以下に、情報システムの利用環境やセキュリティリスクの内容変化に伴い、J-SOX法への対応当時の規程では内容が古く、形骸化しているのではないかと筆者が考える項目をいくつか挙げる。

２．情報セキュリティ規程の主な見直し項目
（１）組織的対策
　近年、サイバー攻撃の手法は多様化、高度化しており、1企業の知見やノウハウだけでは対応が困難になっている。情報システム部門が漠然とその役割を担うことになっている状態では、セキュリティ事故発生時の対応が長期化する恐れがある。最新の脅威に対応できるよう、情報収集体制を強化し、事故発生時の体制、対応策を明確にすることが求められる。
　サイバー攻撃に対する企業の対策の一つとして、CSIRT（Computer Security Incident Response Team）を設置することがあげられる。情報システム部門とは切り離してセキュリティ事故に対応する組織を明確化することで、外部機関とも連携し専門知識を集約し、セキュリティ事故に迅速に対応するための組織である。
　事故対応の長期化は、企業イメージの低下や顧客離れによる業績悪化につながりかねない。長年規程の見直しをしていない企業は、自社のセキュリティ事故に対する体制について記載内容を確認し、重大なセキュリティ事故が発生する前に速やかに見直しに取り掛かるべきである。

（２）人的対策
　J-SOX法への対応当時は、従業員は会社の執務室にてデスクトップPCを使用し、社内ネットワーク上で情報システムを使う場面が多かった。セキュリティ対策は情報システム部門による技術的な対策が中心となっており、規程の内容も情報システム部門に向けたルールが中心だった。
　新型コロナウイルスの影響により、在宅勤務やリモートワークが普及し、社外からの情報システムへのアクセス比率は大幅に上昇した。ノートPC、スマートフォン、タブレット等の情報機器が社外にあることは当たり前の状態になっている。これは情報システム部門の従業員のみならず、全従業員が情報セキュリティについての理解と意識を持つ必要に迫られていることを意味している。
　例えば、1人の従業員がスマートフォンのOSのセキュリティパッチをあてずに利用し続けるという状況も、情報漏洩のリスクや外部からの不正アクセスのリスクを増加させる要因になる。
　規程を長年見直していない企業は、セキュリティ教育や訓練の実施と事故発生時の対応等について、規程に定めた上で従業員の理解と意識向上に向けた取り組みを早々に実施すべきである。

（３）アクセス管理
　J-SOX法への対応当時、多くの上場企業ではオンプレミス環境で情報システム部門主導でのシステム導入が一般的であった。当時の規程では、社内ネットワークのセキュリティや社内からのシステム利用に関するルールが主に取り決められていた。
　しかし、現在では多くの企業でクラウド環境でのシステム導入が主流となり、情報システム部門以外の部署が主体となってSaaS製品等のシステムを導入する場面も増えている。それに伴い、情報漏洩のリスクや外部からの不正アクセスのリスクも増加している。
　例えば、会社の業務で利用するシステムについて、「会社から貸与された端末からの利用のみとする」というルールを規程上記載していても、実態としてSaaS製品等が個人の私用端末から利用可能な状態になっていないだろうか。該当のSaaS製品が個別のID・パスワード管理になっており、個人端末のウィルス対策が万全でなければ情報漏洩や不正アクセスは時間の問題かもしれない。
　そのような場合には、情報セキュリティ規程の「アクセス管理」の規程にアクセス可能な端末を限定するようなルールや個別ID・パスワードの利用を禁止するようなルールの記載と、その対策が求められる。また、情報システム部門以外の部署が導入するシステムについては、導入時に情報システム部門が関与し、セキュリティ対策の一部について責任を持つようなルールの検討も必要になる。

３．おわりに
　本稿では情報セキュリティ規程の中で特に見直しを検討すべき項目をいくつか挙げたが、これらはあくまで一例に過ぎない。自社のセキュリティリスクを感じた企業は、速やかに規程全体を見直すとともに、見直し後の規程内容を基にした全従業員への教育・訓練も忘れず実施してもらいたい。
　また、規程は今後も情報システム環境の変化、事業内容の変化、関連する法令や規制の改定に伴い、適切に見直すべきである。都度の見直しに加えて、最低でも年一回は定期的な見直しの機会を設けることを推奨する。

以上

※記事は執筆者の個人的見解であり、日本総研の公式見解を示すものではありません。