はじめに

こんにちは。情報セキュリティ統括部の三森です。 今回は社内の情報セキュリティの管理規程 (以下「規程」という) を改訂しました。当ブログでは、エンジニアが規程改訂を担当するに至った経緯やメリットなどを踏まえて紹介させて頂こうと思います。

経緯

私は、昨年まではSREチームに所属をしており、DevSecOpsを担当していました。 DevSecOpsの中でも特にセキュリティに関する興味が強かったこともあり、情報セキュリティ統括部の立ち上げの際に声をかけていただき、情報セキュリティ統括部に異動となりました。

情報セキュリティ統括部の最初のタスクとして、SIEMの構築・社内規程の改訂などがあり、私はセキュリティに関する技術的なことは多少知見がありましたが、社内のルールの整備や体制作りといった経験がなく、そういった業務は苦手と自負していたため、あえて苦手な規程改訂のタスクを行うこととなりました。

規程の改訂が必要になった理由は次のとおりです。

これまでの課題

課題①

これまでメディアドゥでは、PC用の規程、オフィス管理用の規程など、規程が複数のドキュメントに分割されており、ドキュメントごとに内容の重複があるという問題を抱えていました。 また、読むべき対象が定義されておらず、知りたい情報を探すために従業員は全ての規程に目を通す必要があり、読む負荷も大きい状態でした。結果として、社員にとって大切な規程にも関わらずあまり普及ができていませんでした。 規程を作っても読まれなければ意味がなく、新しい規程を作るだけではドキュメント管理が複雑になるだけで、情報セキュリティの改善にはつながりません。

課題②

もう一つの課題として、リモートワークの導入など働き方が変化し、新たなセキュリティリスクが出現してきました。また、技術の進化により攻撃手法も多様化しており、今までの対策が通用しないケースが増えてきています。そういった新しい脅威に対し、既存の規程では内容が古く不十分でした。

以上の課題を解決するため、内容を最新にアップデートしつつ、社員全員が規程の内容を理解することを目的に新しい規程を作成しました。

次に規程の改訂内容を紹介します。

改善したこと

①規程の構成

今回一番大きく改善した点は、PC用の規程、オフィス管理の規程など細かく規程を分割するのではなく、「全社員共通の規程」、「システム開発者用の規程」、「総務部門用の規程」、「外部委託管理用の規程」などロールに合わせた規程を作成したことです。

これにより、社員は自分のロールに当てはまる規程だけを読めばよいため、読み手側の負荷を大きく下げることができました。

②規程の内容

リモートワークなどニューノーマルな働き方に合う内容に修正しました。 また、今までのファイアウォールの内側は安全と考える「境界防御」の考えではなく、全てのネットワークを疑う「ゼロトラスト」の考え方を取り入れ規程の内容を修正しました。

具体的にはWeb会議ツールやSaaS製品の使い方やサービスへの認証方法まで言及をすることで、ニューノーマルな働き方、ゼロトラストの考え方を組み込んだ内容にすることができました。

良かった点

エンジニアが規程を作成することで、昨今のセキュリティリスクを技術的に解決する手段を明記することができたと思います。 また、規程の文章を通してゼロトラストや、ツールごとのベストプラクティスを普及させることができたのではないかと思います。

今後目指すこと

今後はリニューアルされた規程を冊子にして社員に配布し、さらに情報セキュリティの教育をしていく想定です。 また、入社時や異動の際などには規程を読むタイミングを設け、規程が全社員の共通認識になるようにしていこうと思います。

さらに、こういった教育活動の成果を毎年評価し、改善に繋げるPDCAサイクルを作っていきます。