情報セキュリティポリシーの実施手順を徹底解説。作り方・具体例・運用方法も
企業の情報漏洩対策において、情報セキュリティポリシーの策定は不可欠です。
しかし、「実施手順(手順書)をどう書けばいいのかわからない」と悩む担当者は少なくありません。
強固なセキュリティ体制を築くためには、抽象的なルールを実務レベルに落とし込んだ実施手順書の整備が極めて重要です。
本記事では、情報セキュリティポリシーの3階層構造から、実施手順を策定する7つのステップ、カテゴリー別の手順書サンプルまで詳しく解説します。
情報セキュリティポリシーの実施手順とは?役割と重要性
ポリシーの全体像を理解し、実効性のあるものにするためには、実施手順が何を指し、どのような役割を果たすのかを正しく定義する必要があります。
ここでは、その定義や重要性について解説します。
情報セキュリティポリシーにおける実施手順(手順書)の定義
情報セキュリティポリシーは、組織の情報資産を守るためのルールや指針を定めた文書体系です。
一般的に、その内容は目的や詳細度に応じて3つの階層に分けて構成されます。
実施手順は、この階層構造の最も具体的で、実務に直結する部分を指します。
| 階層 | 名称 | 概要 | 対象読者 |
|---|---|---|---|
|
第1層 |
基本方針 |
組織の情報セキュリティに対する基本的な考え方や理念、目標を示す最上位の文書です。 |
全従業員・経営層・顧客・取引先など |
|
第2層 |
対策基準 |
基本方針を実現するために、守るべき具体的なルールや基準を定めた文書です。 |
全従業員 |
|
第3層 |
実施手順 |
対策基準で定められたルールを、現場で「誰が、いつ、どのように実行するのか」を具体的に記した手順書やマニュアルです。 | 各業務の担当者・システム管理者 |
このように、上層から下層へと、より具体的・詳細な内容になっていくのが特徴です。
基本方針という大きな理念を、実施手順という日々の行動にまで落とし込むことで、初めて実効性のあるセキュリティ対策が実現します。
基本方針・対策基準・実施手順の違い【3階層構造】
3つの階層の違いを、より具体的にイメージするために、パスワード管理を例に見てみましょう。
それぞれの階層で規定される内容は、以下のように異なります。
【基本方針】
「当社は、情報資産への不正アクセスを防止し、その機密性を確保するために、厳格なアクセス管理を実施する。」
【対策基準】
-
パスワードは最低10文字以上とし、英大文字、英小文字、数字、記号をすべて含むこと
-
パスワードは最低90日ごとに変更すること
-
初期パスワードは必ず変更して使用すること
【初期パスワード設定手順】
-
管理者から受け取った初期パスワードでシステムにログインする
-
パスワード変更画面を開き、対策基準を満たす新しいパスワードを入力する
-
確認のため、もう一度新しいパスワードを入力し、「変更」ボタンをクリックする
この例からも分かるように、基本方針や対策基準だけでは、従業員は具体的に何をすれば良いのか分かりません。
実施手順があって初めて、全従業員が迷わず統一された行動をとれるようになります。
なぜ実務では、実施手順(手順書)が最も重要なのか
情報セキュリティ対策において、「ルールは作ったものの、誰も守っていない」という形骸化が最も危険な状態です。
その主な原因は、ルールが抽象的で、現場の実務とかけ離れていることにあります。
実施手順書は、この形骸化を防ぎ、ポリシーに実効性を持たせるために不可欠な存在です。
実施手順が重要な理由は、主に以下の3点に集約されます。
-
ヒューマンエラーの削減:作業手順が明確に定められていることで、従業員の勘違いや操作ミスによる情報漏洩やシステム障害のリスクを大幅に低減できます。
-
インシデント発生時の迅速な対応:不正アクセスやウイルス感染といった緊急事態が発生した際、あらかじめ定められた手順に従うことで、混乱なく冷静かつ迅速な初動対応が可能となり、被害の拡大を防ぎます。
-
従業員のセキュリティ意識の向上:具体的な行動レベルでルールを学ぶことで、従業員一人ひとりが「自分ごと」としてセキュリティの重要性を理解し、日々の業務における意識向上につながります。
これらの目的を達成するためには、情報セキュリティの根幹であるCIAの維持が欠かせません。
| CIA | 概要 | 具体例 |
|---|---|---|
|
機密性(Confidentiality) |
許可された人だけが情報にアクセスできる状態を保つこと | アクセス制御・暗号化 |
|
完全性(Integrity) |
情報が不正に改ざん・破壊されていない、正確な状態を保つこと | 改ざん検知・バックアップ |
|
可用性(Availability) |
許可された人が必要な時にいつでも情報にアクセスできる状態を保つこと | サーバーの冗長化・障害復旧計画 |
これから作成する実施手順は、すべてこのCIAのいずれかを守るための具体的なアクションプランとなるのです。
情報セキュリティポリシー実施手順書の作り方【7ステップ】
それでは、実際に情報セキュリティポリシーの実施手順書を作成するプロセスを、7つの具体的なステップに分けて解説します。
この手順に沿って進めることで、抜け漏れなく、体系だった手順書が作成できます。
ステップ1:策定体制の構築と責任者の明確化
まず、手順書作成を推進するための体制を構築します。誰が中心となってプロジェクトを進め、最終的な責任を誰が持つのかを明確にすることが重要です
-
責任者の任命:CISO(最高情報セキュリティ責任者)など、組織全体の情報セキュリティに責任を持つ役員を任命します。
-
推進チームの結成:情報システム部門・総務部門・法務部門・各事業部門の代表者など、部門横断的なメンバーで構成される推進チーム(情報セキュリティ委員会など)を立ち上げます。現場の実務を理解しているメンバーを含めることが、実用的な手順書を作成する上で非常に重要です。
ステップ2:策定目的の設定と適用範囲(部署・情報資産)の決定
次に、何のために手順書を作るのか、そして誰が・何を守るためのルールなのかを明確に定義します。
【目的の明確化】
ISMS認証取得のため、顧客からの要求に応えるため、近年のサイバー攻撃の脅威に対応するためなど、策定の目的を具体的に設定します
【適用範囲の定義】
-
人的範囲:正社員・契約社員・派遣社員・業務委託先の従業員など、ルールを遵守すべき対象者を明確にします。
-
物理的範囲:本社・支社・データセンター・テレワーク中の自宅など、ルールが適用される場所を定義します。
-
資産的範囲:ルールの対象となる情報資産(PC・サーバー・ネットワーク機器・書類など)を定めます。
ステップ3:守るべき情報資産の洗い出しとリスク分析・評価
組織内にどのような情報資産が存在し、それぞれにどのようなリスクがあるのかを把握します。
このステップは、どのような手順書が必要かを判断するための基礎となります。
| 情報資産の分類 | 具体例 | 想定されるリスク |
|---|---|---|
|
電子データ |
顧客情報DB・財務データ・技術資料・個人情報 |
【脅威】 |
|
紙媒体 |
契約書・請求書・人事情報が記載された書類 |
【脅威】 |
|
ソフトウェア |
会計ソフト・顧客管理システム(CRM)・自社開発アプリ |
【脅威】 |
|
ハードウェア |
サーバー・PC・スマートフォン・USBメモリ |
【脅威】 |
|
人的資産 |
従業員の知識・ノウハウ・ブランドイメージ |
【脅威】 |
洗い出したリスクに対して、発生可能性と発生した場合の影響度の2軸で評価し、優先的に対策すべきリスクを特定します。
ステップ4:基本方針(情報セキュリティ理念)との整合性確認
作成する実施手順が、組織の最上位文書である基本方針と矛盾していないかを確認します。
基本方針で「顧客情報の保護を最優先する」と掲げているにも関わらず、現場の手順がそれを軽視するような内容になっていては、ポリシー全体の一貫性が失われてしまいます。
常に上位のポリシーに立ち返り、方向性がずれていないかの確認が重要です。
ステップ5:対策基準(社内ルール)から実施手順への落とし込み
ステップ3で特定したリスクに対応するための対策基準(ルール)を具体化します。
例えば、「不正アクセスを防止する」という対策基準に対し、「パスワードは定期的に変更する」「多要素認証(MFA)を設定する」といった具体的なルールを定めます。
この対策基準を、次のステップでさらに詳細な実施手順へと落とし込んでいきます。
ステップ6:現場で使える具体的な実施手順書の作成
対策基準で定めたルールを、現場の従業員が迷わず実行できるように、具体的な手順書に落とし込みます。
このステップが手順書作成の核となる部分です。「誰が」「いつ」「何を」「どのように」行うのかを、5W1Hを意識して明確に記述します。
具体的な書き方やサンプルについては、後の章で詳しく解説します。
ステップ7:全従業員への周知・教育と運用開始
完成した手順書は、全従業員に周知し、その内容を理解してもらうための教育を実施して初めて意味を持ちます。
ただ配布するだけでなく、説明会や研修の場を設け、質疑応答の時間を取りながら丁寧に説明することが重要です。
-
全社説明会の実施:策定の背景や目的、ポリシーの全体像を経営層から直接説明し、全社的な取り組みであることを示す。
-
部署ごとの研修:各部署の業務に関連する手順を中心に、より実践的な内容の研修を行う。
-
eラーニングの導入:全従業員が自分のペースで学習できるようにする。理解度テストを組み合わせることで、知識の定着を図る。
-
ポータルサイトへの掲示:いつでも誰でも最新の手順書を確認できるよう、社内ポータルサイトなどに常時掲示する。
全従業員から手順書を遵守する旨の誓約書を取得し、運用を開始します。
実効性のある情報セキュリティポリシー実施手順書の書き方とポイント
ただ手順を羅列するだけでは、分かりにくく使われない手順書になってしまいます。
ここでは、誰が読んでも理解でき、実務で本当に役立つ手順書を作成するための3つのポイントを解説します。
手順書に盛り込むべき必須項目(5W1Hの具体化)
優れた手順書は、必要な情報が過不足なく整理されています。
以下の項目を盛り込むことで、内容が明確になり、実用性が格段に向上します。
| 必須項目 | 説明 | 記載例 (PCのセットアップ手順書の場合) |
|---|---|---|
|
目的 |
なぜこの手順が必要なのか、その背景や目的を記載します。 | 不正アクセスやマルウェア感染を防ぎ、安全に業務を開始するため。 |
|
適用範囲 |
この手順が誰(どの部署)の、どの業務に適用されるのかを明記します。 | 全従業員(正社員・契約社員)の入社時に適用する。 |
|
実施者・責任者 |
各手順を誰が実施し、誰がその結果に責任を持つのかを明確にします。 |
実施者:情報システム部門担当者 |
|
実施タイミング |
この手順をいつ実施するのかを具体的に示します。 | 入社日の前日まで |
|
手順 |
具体的な作業内容を、ステップバイステップで分かりやすく記述します。 |
1.OSの最新アップデートを適用する |
|
必要なもの |
手順を実施する上で必要なツール、書類、情報などをリストアップします。 | PC本体・OSインストールメディア・ウイルス対策ソフトのライセンスキー |
|
エスカレーション先 |
手順通りに進まない場合や、判断に迷う場合の相談先・報告先を明記します。 | 不明点やエラーが発生した場合は、情報システム部門長に報告する。 |
これらの項目を網羅することで、担当者が変わっても、誰でも同じ品質で作業を遂行できるようになります。
現場のITスキルに合わせた平易な表現と図解・キャプチャの活用
手順書は、ITの専門家ではない一般の従業員が読むことを前提に作成する必要があります。
専門用語や社内用語の使用は極力避け、誰にでも理解できる平易な言葉で記述しましょう。
-
専門用語は注釈を入れる:やむを得ず専門用語を使う場合は、必ず用語解説を入れるか、より簡単な言葉に言い換えます。(例: VPN → 安全な通信を行うための接続方法)
-
図やスクリーンショットを活用する:文字だけの説明よりも、実際の操作画面のスクリーンショットや、作業フローを図で示す方が、直感的に理解しやすくなります。
-
一文を短く簡潔にする:「〜のため、〜であり、〜することで、〜となります。」のような長い文章は避け、一文一義を心がけて簡潔に記述します。
例外的な事態(緊急対応・特例申請)のフローを明文化する
通常の手順だけではなく、予期せぬ事態や例外的な状況が発生した場合の対応フローを明記しておくことが非常に重要です。
-
緊急時の対応:システムに重大なエラーが発生した場合・セキュリティインシデントが疑われる場合など、緊急時の連絡先や初動対応について具体的に定めます。
-
特例申請のプロセス:業務上、やむを得ず手順通りの対応ができない場合の代替手段や、その承認を得るための申請フローを設けておくことで、業務の停滞を防ぎつつ、セキュリティを担保できます。
あらかじめ例外ルールを決めておくことで、現場の担当者が自己判断で危険な行動をとることを防ぎ、ガバナンスを維持できます。
【具体例】情報セキュリティポリシー実施手順書のサンプル(カテゴリー別)
ここでは、多くの企業で共通して必要となる6つのカテゴリーについて、具体的な実施手順書のサンプルを紹介します。
自社の状況に合わせてカスタマイズしてご活用ください。
PC・スマートフォン等のデバイス管理と社外持ち出し手順
【目的】
会社貸与デバイスの紛失・盗難による情報漏洩を防止する。
【対象】
全従業員が使用する会社貸与のPC・スマートフォン・タブレット
【手順】
1.貸与・返却
・デバイスの貸与・返却は、必ず情報システム部門を通じて行い、管理台帳に記録する。
2.利用
・OSやソフトウェアは常に最新の状態に保つ。
・指定されたウイルス対策ソフトを常に有効にする。
・画面ロックは最短時間(例: 1分以内)に設定する。
3.社外持ち出し
・持ち出し時は、カバンから離さず、常に肌身離さず携帯する。
・公共の場(電車、カフェ等)では、画面が他人から見えないように配慮(覗き見防止フィルターの使用推奨)する。
・フリーWi-Fiには接続しない。接続する場合は必ず会社のVPNを使用する。
4.紛失・盗難時
・紛失・盗難に気づいた際は、直ちに上長および情報システム部門に報告する。
・情報システム部門は、遠隔でデバイスをロックまたはデータを消去(リモートワイプ)する。
【責任者】
デバイス利用者(管理責任)・情報システム部門(全体管理)
パスワード管理ルールと多要素認証(MFA)の運用手順
【目的】
不正アクセスによるアカウント乗っ取りを防止し、情報の機密性を確保する。
【対象】
業務で利用する全てのシステム、サービスのアカウント。
【手順】
1.パスワード設定
・10文字以上で、英大文字・英小文字・数字・記号を全て含むものとする。
・氏名・生年月日・推測されやすい単語(password, companyなど)は使用しない。
・他のサービスで利用しているパスワードを使い回さない。
2.パスワード管理
・パスワードを付箋やメモに書いてPCに貼ったり、テキストファイルに保存したりしない。
・パスワード管理ツールの利用を推奨する。
・他人にパスワードを教えない。管理者が尋ねることもない。
3.多要素認証(MFA)の設定
・対象システム(例: Microsoft 365・Google Workspace)では、必ずMFAを有効にする。
・認証アプリ(Microsoft Authenticatorなど)をスマートフォンにインストールし、初期設定を行う。手順は別途マニュアルを参照する。
【責任者】
全従業員
クラウドサービス(SaaS)の導入審査とアカウント管理手順
【目的】
安全でないクラウドサービスの利用(シャドーIT)を防ぎ、会社が管理する環境で安全にサービスを利用する。
【対象】
業務で新たに利用を希望する全てのクラウドサービス(SaaS)。
【手順】
1.導入申請
・導入希望部署は、「クラウドサービス利用申請書」に必要事項(利用目的、利用者、取り扱う情報の種類など)を記入し、情報システム部門に提出する。
2.セキュリティ審査
・情報システム部門は、申請されたサービスが、当社の定めるセキュリティチェックリスト(例: ISMS認証の有無、データ保管場所、暗号化の仕様など)を満たしているか審査する。
3.承認・契約
・審査を通過した場合、部門長および情報システム部門長の承認を得て、契約を締結する。
4.アカウント管理
・アカウントの発行・停止・権限変更は、全て情報システム部門が一元管理する。
・退職や異動が発生した際は、速やかにアカウントを停止・変更する。
【責任者】
導入希望部署・情報システム部門
メール・チャット利用時の誤送信防止と情報共有ルール
【目的】
宛先間違いやファイル添付ミスによる情報漏洩を防止する。
【対象】
業務で利用するメール・ビジネスチャットツール。
【手順】
1.宛先確認の徹底
・送信前に、To・Cc・Bccの宛先が正しいか、最低2回は指差し確認する。
・特に社外へのメールでは、宛先に間違いがないか細心の注意を払う。
2.添付ファイルの暗号化
・機密情報や個人情報を含むファイルを社外に送信する場合は、必ずパスワード付きZipファイルに変換する。
・パスワードは、添付ファイルとは別の手段(別のメール・チャット・電話など)で相手に通知する。
3.情報共有のルール
・機密レベルの高い情報は、メールやチャットでの共有を避け、許可されたファイル共有サーバーを利用する。
・公開チャットルームでは、個人情報や機密情報を発言しない。
【責任者】
全従業員
テレワーク環境における安全なネットワーク接続と作業手順
【目的】
セキュリティが確保されていないテレワーク環境からの情報漏洩を防止する。
【対象】
自宅やサテライトオフィス等、社外で業務を行う全従業員。
【手順】
1.ネットワーク接続
・社内システムにアクセスする際は、必ず会社が指定したVPNソフトウェアを使用し、常時接続を維持する。
・公衆のフリーWi-Fiは、安全性が確認できないため利用を禁止する。
2.作業環境
・業務を行うPCの画面が、家族や同居人、第三者から見えないように配置する。
・業務から離席する際は、必ずPCをロックする(Windowsキー + L)。
・業務関連の書類は、机の上に放置せず、施錠可能な場所に保管する。
3.デバイスの取り扱い
・会社貸与のPCを、家族など本人以外に使用させない。
・私物のPCで業務を行わない(会社が許可した場合を除く)。
【責任者】
全従業員
オフィス内の物理的セキュリティと重要書類の保管・廃棄手順
【目的】
オフィスへの不正侵入や、重要書類の盗難・紛失を防止する。
【対象】
全従業員およびオフィスへの来訪者。
【手順】
1.入退室管理
・従業員は、入退室時に必ず自身のセキュリティカードで認証を行う。
・他の従業員と一緒に入退室する(共連れ)ことは禁止する。
・来訪者には、必ず受付で入館手続きを行い、来訪者用カードを着用してもらう。
2.クリアデスク・クリアスクリーン
・退社時や長時間離席する際は、机の上に書類やPCを放置しない。
・書類は施錠可能なキャビネットに保管し、PCはシャットダウンまたはロックする。
3.書類の保管・廃棄
・機密情報を含む書類は、施錠可能なキャビネットで保管する。
・書類を廃棄する際は、必ずシュレッダー(クロスカット方式)を使用する。
・不要になった電子媒体(USBメモリ、HDD等)は、物理的に破壊するか、専門業者に依頼して確実にデータを消去する。
【責任者】
全従業員・総務部門(施設管理)
情報セキュリティポリシー実施手順を形骸化させない運用のコツ
優れた手順書を作成しても、それが現場で活用されなければ意味がありません。
ここでは、手順書を作って終わりにせず、組織の文化として根付かせるための運用のコツを4つ紹介します。
現場業務と乖離しない「実現可能なルール」への調整
最も重要なのは、ルールが現場の業務実態に即していることです。
セキュリティを意識するあまり、非現実的で厳しすぎるルールを設けてしまうと、かえって抜け道(シャドーITなど)を探す原因となり、形骸化してしまいます。
策定段階から現場の従業員にヒアリングを行い、業務効率を著しく損なわない、実現可能な落としどころを見つけることが不可欠です。
定期的な内部監査と有効性評価・改善(PDCA)
手順書は一度作ったら終わりではありません。ビジネス環境や技術、脅威は常に変化するため、定期的にその内容を見直し、改善していく必要があります。
この継続的な改善活動は、PDCAサイクルに基づいて行うのが効果的です。
-
Plan (計画):リスク評価を定期的に実施し、新たな脅威や脆弱性を特定する。それに基づき、手順書の見直し計画を立てる。
-
Do (実行):見直し計画に基づき、手順書を改訂し、従業員に周知・教育する。
-
Check (評価):内部監査を実施し、手順が正しく遵守されているかを確認する。
セキュリティインシデントの発生状況や、従業員からのフィードバックを収集し、手順の有効性を評価する。 -
Act (改善):評価結果で明らかになった課題(守られていないルール、非効率な手順など)を分析し、さらなる改善策を講じて手順書に反映させる。
このサイクルを回し続けることで、手順書を常に最新かつ最適な状態に保てます。
ITツール(MDM・資産管理ソフト)による運用の効率化
手順の中には、ITツールの導入で、従業員の負担を減らしつつ、より確実な運用を実現できるものがあります。
-
MDM (モバイルデバイス管理):スマートフォンやタブレットを一元管理し、セキュリティポリシーの強制適用、リモートロック、データ消去などを自動化します。
-
資産管理ソフト:社内のPCやソフトウェアの情報を自動で収集・管理し、パッチの適用状況やライセンス違反を可視化します。
-
ログ管理ツール:各システムの操作ログを収集・分析し、不正アクセスの兆候やルール違反を早期に検知します。
手作業での管理に限界を感じる場合は、これらのツールの導入を検討するのも有効な手段です。
社会情勢や技術変化に応じた定期的な見直し
法改正(個人情報保護法など)、新たなサイバー攻撃の手法、新しいテクノロジー(AI、IoTなど)の登場など、組織を取り巻く環境は常に変化しています。
年に一度は、これらの外部環境の変化が自社のセキュリティリスクにどのような影響を与えるかを確認し、必要に応じて手順書を更新するプロセスを定めておくことが重要です。
情報セキュリティポリシー全体像と策定するメリット・注意点
ここで改めて、実施手順を含む情報セキュリティポリシー全体の概要と、その策定が組織にもたらすメリット、そして注意すべき点について整理します。
情報セキュリティポリシーとは何か
情報セキュリティポリシーとは、組織が保有する情報資産を、様々な脅威から守るための道しるべとなる文書群です。
基本方針・対策基準・実施手順の3階層で構成され、組織全体の情報セキュリティに対する姿勢と、具体的な行動ルールを内外に示します。
策定によるメリット
情報セキュリティポリシーを策定し、適切に運用することで、以下のメリットが得られます。
-
セキュリティリスクの低減と企業の信頼性向上
-
従業員の意識向上とインシデント発生時の迅速な対応
-
個人情報保護法などの法令遵守(コンプライアンス)
策定・運用におけるデメリットとその対策
一方で、ポリシーの策定と運用には、いくつかの課題も伴います。これらを事前に認識し、対策を講じることが重要です。
【策定・運用における課題と対策】
-
手間とコストへの対応:テンプレート活用・優先度の高い対策から段階的導入
-
形骸化の防止:現場ヒアリング・定期的な見直し
-
従業員負担の軽減:目的の丁寧な説明・ITツールの活用
実務に落とし込める情報セキュリティポリシー実施手順の策定・運用ならTDCソフトへ
実務に落とし込める情報セキュリティポリシー実施手順の策定・運用ならTDCソフトへ 情報セキュリティポリシー、特に実務に即した実施手順書の策定と運用には、専門的な知識とノウハウが求められます。
「何から手をつければいいかわからない」「自社のリソースだけでは不安だ」といったお悩みをお持ちの場合は、専門家の支援を受けるのも有効な選択肢です。
TDCソフトは、2006年からISO/IEC 27001(ISMS)認証を継続的に取得・維持しており、長年にわたる情報セキュリティマネジメントの実践経験を有しています。
お客様の事業内容や組織規模、既存の業務フローを深く理解した上で、ISMSなどの各種認証基準にも準拠した、実効性の高い情報セキュリティポリシー策定を支援します。
形だけのルール作りではなく、お客様の組織にセキュリティ文化を根付かせ、継続的な改善サイクルを回していくための運用体制構築まで、トータルでサポートします。まずはお気軽にご相談ください。
まとめ|実務に即した実施手順書で情報セキュリティ対策を強化しよう
本記事では、情報セキュリティポリシーにおける「実施手順」の重要性から、具体的な作成ステップ、すぐに使えるサンプル、そして形骸化させないための運用方法までを網羅的に解説しました。
情報セキュリティ対策は、高価なツールを導入するだけで実現できるものではありません。
組織の理念である基本方針から、従業員一人ひとりの日々の行動を規定する実施手順までが一貫して連携し、全員がそれを遵守して初めて、強固な防御壁となります。
自社の実務に即した、生きた手順書の作成が、組織の大切な情報資産を守り、持続的な成長を支えるための確かな一歩となるはずです。
