セキュリティ運用基準書とは?
セキュリティ運用基準書とは、企業や団体が保有する情報資産を安全に管理・運用するための具体的なルールを定めた社内文書です。情報セキュリティポリシーで定めた基本方針を実際の業務へ落とし込み、日々の運用方法や担当者の役割、管理方法などを明確にする役割があります。近年は、ランサムウェア、不正アクセス、標的型メール攻撃、情報漏えいなどのサイバー攻撃が増加しており、大企業だけでなく中小企業も十分な対策が求められています。セキュリティ運用基準書を整備することで、組織全体で統一したルールのもと情報資産を管理でき、事故発生時にも迅速な対応が可能になります。また、ISMS(ISO/IEC27001)やプライバシーマークの取得・更新を目指す企業においても、運用基準書は重要な管理文書の一つです。
セキュリティ運用基準書が必要となるケース
セキュリティ運用基準書は、以下のような企業・組織で特に重要となります。
- 社内ネットワークやサーバーを運用している場合 →アクセス管理や障害対応のルールを統一できます。
- クラウドサービスを利用している場合 →Microsoft 365、Google Workspace、AWSなどの利用ルールを明確にできます。
- テレワーク・リモートワークを導入している場合 →社外からのアクセスや私物端末利用時の管理基準を整備できます。
- 個人情報や顧客情報を取り扱う場合 →情報漏えい防止のための具体的な運用方法を定められます。
- ISMSやPマーク取得を目指す場合 →監査で求められる運用ルールとして活用できます。
- 業務委託先へ情報提供を行う場合 →委託先管理や秘密保持の運用ルールを明確にできます。
このように、情報システムを利用するほぼすべての企業で整備が推奨される文書です。
セキュリティ運用基準書に盛り込むべき主な項目
一般的には次のような項目を定めます。
- 目的・適用範囲
- 情報資産の分類
- 役割・責任体制
- アクセス権限管理
- ID・パスワード管理
- 端末・モバイル機器管理
- ネットワーク管理
- クラウドサービス利用基準
- 電子メール利用ルール
- USB等記録媒体の管理
- バックアップ運用
- ログ管理
- 脆弱性管理
- マルウェア対策
- 委託先管理
- 物理的セキュリティ
- インシデント対応
- 教育・訓練
- 監査・改善
- 改訂・見直し
これらを定めることで、日常的なセキュリティ運用を標準化できます。
各項目のポイントと実務上の注意点
1. 適用範囲
最初に「誰が」「何を対象に」守るのかを明確にします。
例えば、
- 役員
- 正社員
- 契約社員
- 派遣社員
- アルバイト
- 業務委託先
まで含めるかどうかを定めます。
また、
- 社内システム
- クラウドサービス
- モバイル端末
- 電子メール
- ネットワーク機器
など対象資産も明確にしておきます。
2. アクセス権限管理
情報漏えいの多くはアクセス権限の設定不備から発生します。
運用基準では、
- 最小権限の原則
- 退職者アカウントの即時停止
- 異動時の権限変更
- 定期的な棚卸し
などを具体的に定めます。
3. パスワード・認証管理
パスワード管理は最も基本的なセキュリティ対策です。
例えば、
- 十分な文字数・複雑性を設定する
- 他サービスとの使い回しを禁止する
- 初期パスワードを変更する
- 多要素認証(MFA)を利用する
- 認証情報を第三者へ共有しない
などを明文化します。
4. 端末・モバイル機器管理
ノートパソコンやスマートフォンの紛失は情報漏えいの原因となります。
そのため、
- ディスク暗号化
- 画面ロック
- リモートワイプ
- OS更新
- ウイルス対策ソフト導入
などを運用ルールとして定めます。
5. クラウドサービスの利用
クラウド利用では、サービスごとの設定ミスが事故の原因になることがあります。
運用基準には、
- 利用申請方法
- 管理者権限
- アクセス権限設定
- 共有設定
- 退職者アカウント削除
などを盛り込みます。
6. バックアップ管理
バックアップは災害やランサムウェア対策の要です。
運用では、
- バックアップ頻度
- 保存期間
- 保存場所
- オフライン保管
- 復元テスト
まで定めておくことが重要です。
7. ログ管理
ログは不正アクセスや障害調査に欠かせません。
取得対象としては、
- ログイン履歴
- アクセス履歴
- 管理者操作
- エラー情報
- 通信ログ
などがあります。保存期間についても社内ルールを設けておくことが望ましいでしょう。
8. インシデント対応
事故発生時には迅速な初動対応が重要です。
一般的には、
- 事故発見
- 担当部署への報告
- 影響範囲の調査
- 被害拡大防止
- 復旧対応
- 原因分析
- 再発防止策の実施
という流れで対応します。インシデント対応フローをあらかじめ定めておくことで、混乱を防ぐことができます。
9. 教育・訓練
技術的な対策だけでは十分ではありません。
従業員向けに、
- 情報セキュリティ研修
- 標的型メール訓練
- SNS利用教育
- 情報漏えい事例の共有
などを定期的に実施することで、人的リスクを低減できます。
セキュリティ運用基準書を作成する際の注意点
- 実際の業務に合わせた運用ルールを定める 現場で実行できないルールでは形骸化してしまうため、自社の業務内容に適した内容にすることが重要です。
- 関連規程との整合性を確保する 情報セキュリティポリシー、情報管理規程、個人情報保護規程、BCPなどとの整合性を保ちましょう。
- クラウドサービスの利用実態を反映する SaaSやクラウドサービスの利用状況は変化しやすいため、実態に合わせて基準を更新する必要があります。
- 定期的に見直しを行う サイバー攻撃の手法や法令、利用システムは常に変化するため、少なくとも年1回程度の見直しが望まれます。
- 教育と監査を継続する 基準書を作成するだけでは十分ではなく、教育・監査・改善を継続して実施することが重要です。
セキュリティ運用基準書と関連文書との違い
| 文書名 | 主な目的 | 対象 |
|---|---|---|
| セキュリティ運用基準書 | 情報セキュリティの具体的な運用方法を定める | 日常の運用担当者・全従業員 |
| 情報セキュリティポリシー | 組織全体の基本方針を定める | 経営層・組織全体 |
| 情報管理規程 | 情報資産全体の管理方法を定める | 情報資産全般 |
| データ処理契約書(DPA) | 委託先とのデータ取扱いを定める | 委託先・受託者 |
| 障害対応ポリシー | 障害発生時の対応手順を定める | システム運用担当者 |
| SLA(サービス品質保証書) | サービス品質や可用性を定める | サービス提供者・利用者 |
まとめ
セキュリティ運用基準書は、情報セキュリティポリシーを現場で実践するための運用ルールをまとめた重要な文書です。アクセス管理、端末管理、クラウド利用、バックアップ、ログ管理、インシデント対応などを具体的に定めることで、組織全体のセキュリティレベルを維持・向上できます。近年は、クラウドサービスの普及やリモートワークの拡大に伴い、情報セキュリティ対策の重要性が一層高まっています。定期的な教育や監査、基準書の見直しを継続し、自社の業務やリスクに適した運用体制を構築することが、安全で安定した事業運営につながります。