こんにちは、ひろかずです。
情シスアドベントカレンダー参戦です。
タイトルは、よくある流行りの感じにしてみました。

大企業から中小企業に至るまで、今や情報セキュリティに関わるポリシーを保有している組織はたくさんあります。
また、加速するビジネスに追いつく形で、これからポリシーを策定するよ！という組織もあることでしょう。
ポリシー策定に関しては、たくさんの情報が出ており、策定するためのコストやハードルは昔ほど高くはないような状況です。

情報セキュリティに係るポリシーを策定する現場にて、感じることがありましたので一筆書きます。

前段: そもそも情報セキュリティに係るポリシーってどう作るの？

世の中にたくさんのドキュメントがあるので、その説明は本稿では行いません。
情報セキュリティポリシーのサンプル条文に関しては、以下が参考になるでしょう。

• IPA 中小企業の情報セキュリティ対策ガイドライン
• JNSA 情報セキュリティポリシーサンプル改版（1.0版）

また、情報セキュリティに係るポリシーを策定する際の基本線として、以下が挙げられます。

• 対象と範囲を定める
• フレームワークを用いて網羅性を確保する
• 業界標準の規定を記したドキュメントを参照する
• 定期的な見直しサイクル

1. そもそも我々は何をしたかったか

情報セキュリティは、単独で存在することはできません。
必ず、ビジネス（こうやったら儲かるぞ、これは売れるぞ）やビジネスを通じて成したいことや願いがあって、それを遂行する上で情報セキュリティが必要になってきたはずです。

ポリシーを策定する機会があったら、このポリシーを達成した先の未来を思い描いてください。

その未来は、少なくともパスワードを一生懸命変更して回ったり、真面目な社員がより多くの業務の成果を達成するために抜け穴を探りまわったり、管理者が履行状況を追い回すものなのでしょうか。

それとも、社員が迷うことなく快適に業務を遂行でき、経営の責任者やCI(S)Oが次の施策を考える上でのインプットを得られるものなのでしょうか。

ポリシーの策定・維持にはコストを伴います。
何のためのポリシーなのか、達成の先に成したい未来を明らかにしておくことで、迷いが生じた時の見直すポイントやコストの納得感に立ち返ることができます。

2. このポリシーは何を参照して作るのか

組織や企業活動にはそれぞれ個性があります。
サンプルはあくまでもサンプルなので、個性に合わせて足りないところを補い、過ぎた部分を調整する必要があります。
その時に、どうやって決めていくのでしょう？
雰囲気？なんとなく？常識？オレオレルール？

世界の先人がたくさんの叡智を残してくれていますので、参照しましょう。
いくつか紹介します。

• IPA セキュリティ関連NIST文書

また、監督官庁が示す基準や参照すべき法律にも留意しましょう。

• 経済産業省 情報セキュリティ管理基準（平成28年改正版）
• e-Gov法令検索

経済産業省の素晴らしいまとめです。
こちらも参照するのがいいでしょう。

• 経済産業省 運用者向けセキュリティ関連コンテンツ一覧

参照したドキュメントは、脚注や巻末に記載することをおすすめします。
将来、そのポリシーに疑問を持った人たちが、立ち返る時の助けになります。

3. フィードバックを受けて見直す機会はあるのか

ポリシーは達成可能なものでなければ、意味がありません。
時間をかけて作ったポリシーが、現場の批判にさらされ、見えないところで蔑ろにされるのは、作った側としては心が痛むでしょう。
少なからず、産みの苦しみを経てできた我が子のようなものでしょうから。

立派なドキュメント参照して、どんなにピカピカなポリシーを作ったとしても、その組織では一年生です。
よちよち歩きなんです。
育てていく必要があります。

フィードバックを受け付ける窓口を用意する

フィードバックを受け付ける窓口は、係る人たちに開かれているでしょうか。
窓口が開かれており、認知されていなければ、フィードバックは集まりません。

また、ポリシーは、意地悪をしたくて存在する訳ではないので、

• 伝える側は、 めんどくさい！こんなことなんでやらないといけないの！でもなく
• 受ける側は、 そんなこと知りません！ポリシーなんだから守ってください！でもなく

成したかったことや参照ドキュメントに立ち返りながら、どうしたら実運用に堪えるところに落とせるかを一緒に考えていく作業になります。
自分たちで考えることが辛くなった時は、外部の意見を聞くのも選択肢としていいでしょう。

もしも、組織にCSIRTがあり、NCA(日本CISRT協議会)に加盟しているのであれば、構築した関係の中で悩みを相談できるかもしれません。

見直しの契機は柔軟に

社内の意見招請を経たとしても、発行直後のポリシーは、バスタブ曲線のようにいろいろ噴出することが考えられます。定めた見直しのタイミングに拘らずに、状況に応じて短いタームで見直す柔軟さも必要です。

リスク評価のタイミングに合わせるのもいいでしょう。
ビジネスを取り巻く環境は加速度的に変化しているので、新しい取り組みを始める前後も見直しの契機と言えます。

今日のところはここまでです。
お疲れ様でした。