TOPマネジメント > 企業にとって重要なITポリシー7選(前)

マネジメント

企業にとって重要なITポリシー7選(前)

2021/04/06

Bob Violino CSO

 この1年で、世界は想像を絶するほどの変化を遂げた。サイバーセキュリティの観点でも、変化は非常に大きい。特に、リモートワークを続けている人の多さや、在宅と出勤を組み合わせたハイブリッドワークの増加が挙げられる。加えて、企業はクラウドサービスの利用を増やし、eコマースにも以前より力を入れている。こうした変化の中でセキュリティを確保していくためには、企業のITポリシーにも見直しが必要だ。サイバーセキュリティの専門家らの話をもとに、ITポリシーとして定めておくべき重要な7項目を見ていくことにしよう。

利用規定

Credit: KrulUA / Simon Carter / Peter Crowther / Getty Images
Credit: KrulUA / Simon Carter / Peter Crowther / Getty Images

 利用規定(Acceptable Use Policy)とは、会社の資産とデータの利用目的や、会社に影響を及ぼす行動について、何が認められるかを明文化したものだ。「利用規定は、すべてのITポリシーの基礎となる。会社のコンピューティング資産を利用するうえで期待される行為を、すべての人に向けて説明する規定だ」と、米コンサルティング企業Liggett Consultingの最高経営責任者(CEO)で、ITとサイバーセキュリティに造詣が深いMark Liggett氏は説明する。

 こうした規定は、すべての従業員が従うべき規範の土台になるとLiggett氏は言う。「コンピューター関連のポリシーが他になかったとしても、この規定は必要だ」

 エンドユーザーの一人ひとりが何をすればよいか、またその方法に関する制約について、会社が指針を示しておけば、ユーザーの行動に伴うリスクを抑えられる。米調査会社Gartnerのプリンシパル、Zaira Pirzada氏はそのように説明する。

データ分類ポリシー

 データ分類ポリシーは、情報セキュリティプログラムで特に重要な構成要素の1つだが、軽視されることも多いとPirzada氏は言う。「一貫性のあるデータ分類をきちんと定めておかなければ、企業は重要な問いに答えを出すことができない。例えば、自社のデータの価値、データに対するリスクを緩和する方法、ガバナンスの効果的な監視と管理の方法などだ」

 現在は、ビジネス意思決定者が組織の各所に分散し、従来のネットワーク境界の外にいる。こうした意思決定者は、機密データの処理、共有、利用にあたって、リスクを的確に判断する方法について、IT部門からの指針を必要としている。そこで、データ分類ポリシーを策定し、それに付随する基準や指針を定めておけば、セキュリティやリスクマネジメントの責任者にとって役立つ。「データのセキュアな利用、保存、扱い、処理についての指針や手引きになる」とPirzada氏は言う。

↑ページ先頭へ