仕事の関係上、このところ（情報）セキュリティ・ポリシーという言葉を耳にしない日はない。 ところが、この言葉を使って話をしようとすると、なかなかやっかいなのである。

セキュリティ・ポリシーって何だろう？

セキュリティ・ポリシーとは、保護すべき対象を定め、 それを誰がどの程度の努力を傾けて守るべきかといったことを簡潔に述べた 「理念」であると思っている。 こうした「理念」は、自分が属する組織にもあるはず（べき）だし、 もちろん国家全体としても存在して然るべきだし、 また漠としたイメージであれ個人でも持っているだろう。

個人というとやや不思議に思われる方もいらっしゃるかと思うが、 別に小難しく考える必要はない。 例えば、自分の財布を通りすがりの人に不用意に渡す人はいないだろう。 そうした場面では「自分の財産は暴漢に襲われるなど生命に危険のない限り、 あらゆる手段を尽くして守るべき対象であり、 かつ利用者は自分と家族のみに限定すべき」 といったセキュリティ・ポリシーに基づいて行動している訳である。 またクレジット・カード番号や携帯電話の番号を第三者に伝えて良いかどうか、 誰になら自分の名刺を渡して良いかなど、多少不明確かも知れないが、 それでもある程度の基準を持って日々暮らしているはずである。

どうも話しが通じない…

ところが、セキュリティ・ポリシーについて話しをしていると、 どうも話しがかみ合わない場面にときどき出くわすことがある。 例えば、「こんどのお客さんって、まだセキュリティ・ポリシーがないそうなんだ。 それでポリシーを考えてマシンの設定ファイルに書き込んでおいて欲しいって言われてるんだよ。」 などといったケースである。 どうして「理念」がコンピュータの設定ファイルに書き込めるのだろう？ と悩んでしまう。 理念という抽象的な決め事は、どうもなじみにくいらしい。 確かにイメージしずらいけれど、 少なくともコンピュータに設定すればよいようなものではないはずだ。

セキュリティ・ポリシーのイメージ

ここで、セキュリティ・ポリシーとはどのようなものかをイメージするのに適した幾つかの題材をご紹介したい。もちろん他にも沢山あるのだが、誌面の都合で割愛した。

日本銀行が2000年4月18日に発表した “金融機関における情報セキュリティの重要性と対応策”では、 情報セキュリティ・ポリシーを 「情報セキュリティ対策構築に当たり組織内で適用される考え方や方針を体系化したもの」とし、 通常は「情報セキュリティ対策に関する基本的な考え方 (基本方針)」と 「組織全体に共通する具体的な対策やクリアすべき基準 (スタンダード)」 で構成することが多いとしている。

（財）金融情報システムセンターが策定した “金融機関等におけるセキュリティポリシー策定のための手引書”では、 「会社（もしくは組織）の情報資産（情報及び情報システム） を適切に保護するための会社としての安全対策に関する統一方針」としている。

英国の国家標準である BS7799 (Information Security Management) では、 情報セキュリティ・ポリシーは、 情報セキュリティの全般的な目的と適用範囲・重要性、経営陣による支持表明、 特に重要な要求事項の説明、責任者の定義等を含むこととしている。

国際的な技術標準である ISO/IEC TR 13335 (Guidelines for the management of IT Security) では、 セキュリティポリシーをいくつかの階層に分けている。 その一つ、企業ITセキュリティ・ポリシーでは、ハード・ソフトのセキュリティ、 通信のセキュリティ、物理的セキュリティ、組織構成員に関するセキュリティ、 文書や媒体のセキュリティ等を含む。 つまり、いわゆるコンピュータのセキュリティだけが対象ではない。

---

セキュリティに限らず、組織的に活動を行う際には、 そもそも組織として何を為すべき (為さざるべき) かという基本ポリシーをトップが定めるはずである。 そして、そのポリシーを基に、 ポリシーを実現するために必要なスタンダード (強制事項) やガイドライン (推奨事項) を定める。 さらにシステムの操作方法など、 日々の具体的なオペレーションを定めた詳細なマニュアルを用意する、 というのが基本的なアプローチのはずである。 もしかすると稟議という名のボトムアップ型意志決定に馴れてしまった日本人の多くは、 こうしたトップダウン型のポリシー策定が不得手なのかもしれない。