セキュリティポリシーの基礎
組織におけるマルウェア対策を効果的に機能させるためには、明確なセキュリティポリシーの策定が不可欠です。セキュリティポリシーとは、組織が情報セキュリティに関してどのような方針で取り組むかを文書化したものであり、すべてのセキュリティ対策の土台となります。
ポリシー体系の構造
セキュリティポリシーは、一般的に階層構造で整備されます。この階層構造を理解することで、効果的な文書体系を設計できます。
| 文書階層 | 名称 | 内容 | 対象者 | 改訂頻度 |
|---|---|---|---|---|
| 第1階層 | 基本方針(ポリシー) | 組織の情報セキュリティに対する基本的な考え方・方針 | 全従業員・経営層 | 3〜5年 |
| 第2階層 | 対策基準(スタンダード) | 基本方針を実現するための具体的な遵守事項 | 管理者・担当者 | 1〜2年 |
| 第3階層 | 実施手順(プロシージャ) | 対策基準を実行するための具体的な作業手順 | 実務担当者 | 随時 |
| 補助文書 | ガイドライン | 推奨事項や参考情報 | 全従業員 | 随時 |
基本方針(ポリシー)は、経営層が承認する最上位の文書であり、組織としての情報セキュリティへのコミットメントを示します。この文書は抽象度が高く、具体的な技術や製品には言及しません。
対策基準(スタンダード)は、基本方針を実現するために「何をすべきか」を定めた文書です。マルウェア対策においては、「すべての端末にアンチウイルスソフトを導入すること」といった具体的な要件が記載されます。
実施手順(プロシージャ)は、対策基準を実行するための「どのように行うか」を詳細に記載した文書です。アンチウイルスソフトの設定手順や、不審メールを受信した際の報告手順などが含まれます。
この階層構造を採用することで、基本方針の変更なしに、技術の進歩や脅威の変化に応じて下位層の文書を柔軟に改訂できます。
効果的なポリシーの要件
形骸化せず、実際に機能するセキュリティポリシーには、いくつかの重要な要件があります。
- 明確性
- ポリシーの内容は、対象者が理解できる明確な表現で記載される必要があります。専門用語を使用する場合は定義を明記し、曖昧な表現は避けます。「適切に管理する」ではなく「90日ごとにパスワードを変更する」のように具体的に記載します。
- 実現可能性
- 現実的に実行可能な内容であることが重要です。理想的だが実現困難なポリシーは、従業員が無視したり回避策を探したりする原因となります。現場の業務実態を踏まえた実現可能な基準を設定します。
- 測定可能性
- 遵守状況を測定・評価できる形式で記載します。「定期的にバックアップを取得する」ではなく「毎日21時に自動バックアップを実行する」のように、遵守・非遵守を客観的に判断できる基準とします。
- 更新性
- 技術や脅威の変化に応じて更新できる仕組みを持たせます。改訂プロセスを明確にし、定期的なレビューサイクルを設定します。特にマルウェアの手口は日々進化するため、対策基準は年1回以上の見直しが推奨されます。
これらの要件を満たすポリシーは、マルウェア感染対策の完全ガイドで解説している技術的対策と組み合わせることで、組織全体のセキュリティレベル向上に貢献します。
マルウェア対策ポリシーの項目
マルウェア対策に特化したポリシーでは、感染経路ごとに具体的なルールを定める必要があります。ここでは、主要な対策領域ごとにポリシー項目を解説します。
エンドポイントセキュリティ
エンドポイント(PC、スマートフォン、タブレット)は、マルウェア感染の主要な入口となります。エンドポイントセキュリティに関するポリシーでは、以下の項目を規定します。
| ポリシー項目 | 対策基準例 | 実施手順との連携 |
|---|---|---|
| アンチウイルスソフト | 会社が指定するアンチウイルスソフトを全端末にインストールし、リアルタイム保護を有効にすること | インストール手順書、設定確認手順 |
| 定義ファイル更新 | ウイルス定義ファイルは毎日自動更新されるよう設定すること | 自動更新設定手順、更新確認方法 |
| OSパッチ適用 | OSのセキュリティパッチは公開後30日以内に適用すること | パッチ管理手順、適用報告フォーム |
| 許可ソフトウェア | 業務に使用するソフトウェアは情報システム部門の承認を得て導入すること | ソフトウェア申請手順、承認フロー |
| 管理者権限 | 一般ユーザーには管理者権限を付与しないこと | 権限設定基準、例外申請手順 |
特にパッチ適用については、ランサムウェア対応プレイブックでも強調されているように、脆弱性を悪用した攻撃を防ぐために極めて重要です。
メールセキュリティ
メールはフィッシング詐欺やマルウェア配布の主要な経路です。メールセキュリティに関するポリシーでは、従業員の行動規範を明確にします。
- 添付ファイルの取り扱い
- 不明な送信者からの添付ファイルは開かないこと。添付ファイルを開く前に、送信者の正当性を確認すること。実行形式ファイル(.exe、.bat、.js等)が添付されている場合は、情報システム部門に確認すること。
- 不審メールの報告義務
- 不審なメールを受信した場合は、開封・転送せずに速やかに情報セキュリティ担当者に報告すること。報告を怠った場合、被害が拡大する可能性があります。報告者が不利益を被ることはありません。
- 外部送信時のルール
- 機密情報を含むファイルを外部に送信する場合は、パスワード付きZIPまたは暗号化ツールを使用すること。パスワードは別の通信手段(電話等)で伝達すること。
- リンクのクリック
- メール本文中のリンクをクリックする前に、リンク先URLを確認すること。正規のドメインと異なるURL、短縮URLには特に注意すること。
Web利用
Webブラウジングは、ドライブバイダウンロード攻撃やマルバタイジングによるマルウェア感染のリスクがあります。
| 項目 | ポリシー内容 |
|---|---|
| アクセス制限 | 業務に関係のないWebサイトへのアクセスは控えること。特に、ファイル共有サイト、アダルトサイト、違法コンテンツサイトへのアクセスは禁止する |
| ダウンロード制限 | 業務上必要なソフトウェア以外のダウンロードは禁止する。必要な場合は情報システム部門の承認を得ること |
| クラウドサービス利用 | 業務データの保存・共有には、会社が承認したクラウドサービスのみを使用すること |
| ブラウザ拡張機能 | ブラウザの拡張機能(アドオン)のインストールは禁止する。必要な場合は情報システム部門の承認を得ること |
これらのルールは、シャドーIT・無許可SaaSの問題を防ぐためにも重要です。
リムーバブルメディア
USBメモリや外付けハードディスクなどのリムーバブルメディアは、マルウェア感染の経路として長年利用されています。
- USB利用制限
- 個人所有のUSBメモリ・外付けストレージの業務端末への接続は原則禁止する。業務上必要な場合は、会社支給の暗号化USBメモリを使用すること。
- データ持ち出しルール
- 業務データを社外に持ち出す場合は、上長の承認を得ること。持ち出しデータは暗号化し、持ち出し記録を残すこと。
- 暗号化要件
- 社外に持ち出すすべてのデータは、AES256相当以上の暗号化を施すこと。暗号化されていないリムーバブルメディアでの持ち出しは禁止する。
- 自動実行の無効化
- すべての端末で、リムーバブルメディアの自動実行機能を無効にすること。
悪意あるUSB(BadUSB等)による攻撃も増加しているため、拾得したUSBメモリを接続しないよう従業員教育も重要です。
インシデント報告
マルウェア感染の早期発見・早期対応のためには、従業員からの報告が不可欠です。
| 項目 | 規定内容 |
|---|---|
| 報告義務 | マルウェア感染の疑い、不審な挙動、セキュリティに関する異常を発見した場合は、速やかに報告すること |
| 報告経路 | 第一報は情報セキュリティ担当者(内線:XXXX、メール:security@example.co.jp)に連絡する。緊急時は上長を通じても報告可 |
| 報告期限 | 発見後1時間以内に第一報を入れること。詳細報告は24時間以内に提出すること |
| 報告者保護 | 報告者が報告したことにより不利益を被ることはない。早期報告は評価の対象とする |
ポリシー策定プロセス
効果的なセキュリティポリシーを策定するためには、体系的なプロセスを踏む必要があります。
策定体制
ポリシー策定には、組織横断的な体制が求められます。
| 役割 | 担当者例 | 責任 |
|---|---|---|
| 統括責任者 | CISO/情報セキュリティ責任者 | ポリシー全体の承認、経営層への報告 |
| 事務局 | 情報システム部門 | ドラフト作成、関係者調整、改訂管理 |
| 技術レビュー | IT部門、セキュリティ担当 | 技術的妥当性の確認 |
| 業務レビュー | 各部門代表 | 業務実態との整合性確認 |
| 法務レビュー | 法務部門/外部専門家 | 法的リスクの確認 |
| 最終承認 | 経営層/取締役会 | ポリシーの正式承認 |
特に業務レビューは重要です。現場の声を聞かずに策定したポリシーは、業務実態と乖離し、形骸化する原因となります。
現状分析
ポリシー策定の第一歩は、現状の把握です。
- 既存ポリシーの棚卸し
- 既存の情報セキュリティ関連文書を一覧化し、内容を確認します。過去に策定されたものの更新されていない文書、重複する文書、矛盾する内容がないかを確認します。
- ギャップ分析
- 業界標準(ISO 27001、NIST CSF等)と現状のポリシーを比較し、不足している項目を特定します。マルウェア対策については、業界標準・フレームワークで解説しているCIS Controlsの項目も参考になります。
- リスク評価との連携
- 組織のリスク評価結果を踏まえ、優先的に対策すべき領域を特定します。リスクの高い領域には、より厳格なポリシーを設定します。
起草と合意形成
ポリシーのドラフト作成から承認までのプロセスです。
- ドラフト作成
- 現状分析の結果を踏まえ、事務局がドラフトを作成します。業界のベストプラクティスやテンプレートを参考にしつつ、自組織の実態に合わせてカスタマイズします。
- 関係部門レビュー
- ドラフトを関係部門に回覧し、フィードバックを収集します。特に、業務への影響、実現可能性、コストについての意見を重視します。必要に応じて複数回のレビューを行います。
- 経営層承認
- 関係部門の合意を得たドラフトを経営層に提出し、正式承認を得ます。経営層には、ポリシーの必要性、期待される効果、リソース要件を明確に説明します。
合意形成においては、「なぜこのルールが必要か」を丁寧に説明することが重要です。ソーシャルエンジニアリングの手口を具体例として示すことで、ポリシーの必要性への理解を促進できます。
周知と教育
策定したポリシーは、従業員に周知し、理解させなければ意味がありません。
| 周知方法 | 内容 | 対象 |
|---|---|---|
| 全社通知 | ポリシー制定・改訂の告知、概要説明 | 全従業員 |
| 説明会 | ポリシーの詳細説明、質疑応答 | 管理職、キーパーソン |
| eラーニング | ポリシー内容の学習、理解度確認テスト | 全従業員 |
| ハンドブック | 日常業務で参照できるポイント集 | 全従業員 |
| 入社時研修 | 新入社員向けの基礎教育 | 新入社員 |
ユーザー意識向上プログラムと連携し、継続的な教育を実施することが重要です。
ポリシー運用と改善
ポリシーは策定して終わりではなく、継続的な運用と改善が必要です。
遵守状況の監視
ポリシーの遵守状況を定期的に確認し、問題を早期に発見します。
| 監視項目 | 確認方法 | 頻度 |
|---|---|---|
| アンチウイルス導入状況 | 資産管理ツールでの自動チェック | 毎日 |
| パッチ適用状況 | WSUSやSCCM等での確認 | 週次 |
| 不許可ソフトウェア | ソフトウェア棚卸し | 月次 |
| USB利用状況 | DLPツールのログ分析 | 週次 |
| 従業員の理解度 | eラーニングテスト、フィッシング訓練 | 四半期 |
- 違反への対応
- ポリシー違反を発見した場合の対応手順を明確にしておきます。軽微な違反は注意・指導で対応し、重大な違反や繰り返しの違反は懲戒処分の対象とします。ただし、処罰よりも教育・改善を優先する姿勢が重要です。
- 例外申請プロセス
- 業務上の理由でポリシーを遵守できない場合の例外申請プロセスを整備します。申請には、理由、期間、代替措置、承認者を明記します。例外は記録し、定期的に見直します。
定期的な見直し
ポリシーは定期的に見直し、環境変化に対応します。
- レビューサイクル
- 基本方針は3〜5年ごと、対策基準は1〜2年ごと、実施手順は随時見直します。見直し時期をカレンダーに登録し、確実に実施します。
- 見直しトリガー
- 定期レビューに加え、以下のイベントが発生した場合は臨時の見直しを検討します:重大なセキュリティインシデントの発生、新たな脅威の出現、法規制の変更、組織体制の変更、新技術の導入。
- 改訂プロセス
- 改訂は策定時と同様のプロセスで行います。変更点を明確にし、関係者のレビューと承認を得た上で正式リリースします。改訂履歴を記録し、変更内容をトレースできるようにします。
インシデント後の更新
マルウェア感染インシデントが発生した場合は、その教訓をポリシーに反映します。
| フェーズ | アクション |
|---|---|
| インシデント対応中 | ポリシーの不備がインシデントの原因・拡大に寄与したかを記録 |
| 事後分析 | 根本原因分析(RCA)でポリシー関連の問題を特定 |
| 改善策検討 | ポリシー改訂を含む再発防止策を立案 |
| 改訂実施 | 緊急性に応じて通常または緊急改訂プロセスで対応 |
| 効果確認 | 改訂したポリシーが遵守され、効果を発揮しているかを確認 |
ポリシーの実効性向上
策定したポリシーが形骸化せず、実際に機能するための工夫を解説します。
形骸化防止
多くの組織でセキュリティポリシーが「作っただけ」になっている現実があります。これを防ぐための対策を講じます。
- 現実的な内容
- 理想を追求しすぎず、現在のリソースで実現可能な内容にします。達成不可能なルールは守られず、ポリシー全体への信頼を損ないます。段階的に水準を上げていくアプローチも有効です。
- 業務への配慮
- セキュリティ対策が業務効率を著しく低下させないよう配慮します。業務部門と対話し、両立できる着地点を探ります。どうしても両立困難な場合は、リスクと業務影響のトレードオフを経営層に判断してもらいます。
- フィードバック収集
- 現場からのフィードバックを継続的に収集する仕組みを設けます。「このルールは守れない」「この手順は分かりにくい」といった声を拾い上げ、改善に活かします。匿名での意見収集も有効です。
- ポジティブな強化
- 違反の処罰だけでなく、遵守に対するポジティブな強化も行います。セキュリティ意識の高い従業員や部門を表彰する、インシデント報告者に感謝を伝えるなどの施策が有効です。
テクノロジーとの連携
ポリシーと技術的対策を連携させ、ルール遵守を技術的に支援・強制します。
| ポリシー項目 | 技術的強制/支援 |
|---|---|
| パスワード要件 | Active Directory等でポリシーを強制 |
| パッチ適用 | WSUS/Intuneで自動配布 |
| USB制限 | デバイス制御ソフトでブロック |
| 禁止サイトアクセス | Webフィルタリングで遮断 |
| 不審メール報告 | ワンクリック報告ボタンの設置 |
技術的に強制できる項目は技術で対応し、人の判断が必要な項目は教育とポリシーで対応するという棲み分けが効果的です。
組織的マルウェア対策のサブピラーページでは、こうした組織体制全体の設計について詳しく解説しています。
テンプレートと事例
ポリシー文書の標準構成と、記載例を紹介します。
ポリシー項目テンプレート
対策基準の各項目は、以下の構成で記載すると明確になります。
| 構成要素 | 内容 | 記載例 |
|---|---|---|
| 目的 | このルールを設ける目的 | マルウェア感染によるシステム障害・情報漏洩を防止するため |
| 適用範囲 | 対象となる人・システム・場所 | 当社の情報システムを利用するすべての役職員および委託先要員 |
| 用語定義 | ポリシー内で使用する用語の定義 | 「マルウェア」とは、悪意あるソフトウェアの総称をいう |
| 基準・ルール | 遵守すべき具体的な内容 | すべての端末にアンチウイルスソフトを導入し、リアルタイム保護を有効にすること |
| 責任 | 誰が何に責任を持つか | 情報システム部門は定義ファイルの配布を、利用者は更新の適用を責任を持つ |
| 違反時の対応 | 違反した場合の措置 | 違反が確認された場合、是正指導を行う。重大な違反は懲戒処分の対象となる |
- マルウェア対策ポリシー記載例(抜粋)
-
5.1 エンドポイント保護
5.1.1 目的:端末へのマルウェア感染を防止し、感染時の早期検知を可能にする。
5.1.2 適用範囲:当社が管理するすべてのPC、サーバー、モバイルデバイス。
5.1.3 基準:
(a) すべての端末に、情報システム部門が指定するEDR/アンチウイルスソフトを導入すること。
(b) リアルタイム保護機能を常時有効にすること。無効化は禁止する。
(c) 定義ファイルは自動更新を有効にし、最新状態を維持すること。
(d) フルスキャンを週1回以上実行すること。
5.1.4 責任:情報システム部門は導入・設定・監視を、利用者は無効化しないことを責任を持つ。
5.1.5 例外:やむを得ず無効化が必要な場合は、情報セキュリティ責任者の承認を得ること。
このテンプレートを参考に、自組織の実態に合わせたポリシーを策定してください。IPAの「中小企業の情報セキュリティ対策ガイドライン」も参考になります。
よくある質問
- Q: ポリシーを厳しくしすぎると業務に支障が出ませんか?
- A: セキュリティと業務効率のバランスが重要です。過度に厳しいポリシーは、従業員が回避策を探すことにつながり、かえってセキュリティが低下します。業務部門の意見を取り入れ、「なぜこのルールが必要か」を説明し、例外申請プロセスを整備することで、実効性のあるポリシーを実現できます。
- Q: 中小企業でもセキュリティポリシーは必要ですか?
- A: 規模に関わらず、セキュリティポリシーは必要です。ただし、大企業と同じ詳細なポリシーを策定する必要はありません。IPAが提供する中小企業向けのテンプレートを活用し、自社に必要な項目から優先的に整備することを推奨します。最低限、マルウェア対策、パスワード管理、インシデント報告の3項目は規定すべきです。
- Q: ポリシーの違反者にはどう対応すべきですか?
- A: 違反の程度と頻度に応じた対応が必要です。初回の軽微な違反は注意・指導で対応し、教育を通じて再発防止を図ります。繰り返しの違反や重大な違反は、就業規則に基づく懲戒処分の対象となり得ますが、処罰よりも改善を優先する姿勢が重要です。また、なぜ違反が起きたのかを分析し、ポリシー自体に問題がないかも検討します。
- Q: ポリシーはどのくらいの頻度で見直すべきですか?
- A: 基本方針は3〜5年ごと、対策基準は1〜2年ごとの見直しが目安です。ただし、重大なセキュリティインシデントの発生、新たな脅威の出現、法規制の変更などがあった場合は、定期サイクルを待たずに見直しを行います。特にマルウェアの手口は日々進化するため、脅威動向を注視し、必要に応じて機動的に更新することが重要です。
- Q: ポリシー策定を外部に委託することは可能ですか?
- A: セキュリティコンサルタントや専門事業者に策定支援を委託することは可能です。ただし、最終的な判断と承認は組織内で行う必要があります。外部委託する場合も、自組織の業務実態を十分に伝え、形式的なポリシーにならないよう注意します。策定後の運用・改善は内部で継続できる体制を整えることが重要です。
まとめ
セキュリティポリシーは、組織のマルウェア対策を支える重要な基盤です。効果的なポリシーを策定し、運用していくためのポイントを振り返ります。
ポリシー体系の設計では、基本方針・対策基準・実施手順の階層構造を整備し、柔軟な更新を可能にします。策定プロセスでは、関係部門を巻き込み、現実的で実行可能な内容を目指します。運用と改善では、遵守状況を監視し、インシデントや環境変化を踏まえて継続的に更新します。
最も重要なのは、ポリシーを「作って終わり」にせず、組織に根付かせることです。技術的対策と教育を組み合わせ、従業員がセキュリティを「自分ごと」として捉えられる環境を作ることが、マルウェア対策の成功につながります。
セキュリティガバナンスと合わせて、組織全体のセキュリティ体制強化に取り組んでください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にマルウェア感染の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、マルウェアの手口は日々進化している可能性があります。
更新履歴
- 初稿公開
