「うちはまだ小さいからセキュリティポリシーなんて必要ないでしょ」。そう思って先送りにしていた矢先、退職した社員のアカウントが残ったまま外部から不正ログインされた——こうした事例が、中小企業でも後を絶ちません。
情報セキュリティポリシーは、大企業だけのものではありません。むしろ専任のセキュリティ部門を持てない中小企業こそ、「何を守り、何を禁止するか」を明文化しておく必要があります。
この記事では、セキュリティポリシーの基本構造から、情シスが1人でも進められる策定の5ステップ、そして無料ひな形の活用法まで、現場で使えるレベルで解説します。
セキュリティポリシーとは?なぜ中小企業にも必要なのか
セキュリティポリシー(情報セキュリティ方針)とは、企業が「情報をどのように守るか」を組織全体で取り決めた文書群のことです。
よく「技術的な対策」と混同されますが、セキュリティポリシーは技術ではなくルールです。ウイルス対策ソフトを入れることではなく、「なぜ入れるのか」「誰が管理するのか」「破った場合はどうなるのか」を定めるものです。
中小企業においてセキュリティポリシーが重要な理由は3つあります。
・法的・契約上の要件: 個人情報保護法の改正(2022年)以降、個人情報を扱う事業者はすべて「安全管理措置」の実施が義務付けられています。取引先から「セキュリティポリシーの提出」を求められるケースも増えています。
・インシデント発生時の判断基準: 問題が起きたとき、ポリシーがなければ「何が違反か」が曖昧になります。対応の遅延はさらなる被害を招きます。
・社員への行動指針: 「個人のスマートフォンで業務メールを見ていいのか」「自宅のWi-Fiで社内システムに接続していいのか」——こうした判断をその都度社員が自己判断していると、リスクの穴は広がる一方です。
情シスが1人しかいない企業でも、「セキュリティポリシーがある状態」と「ない状態」では、インシデント発生時のダメージがまったく異なります。
なお、セキュリティポリシーは一枚の宣言文ではなく、後述する3層の文書体系で整備するのが業界標準です。まずその全体像を理解した上で、自社に合ったスモールスタートを選ぶのが最も現実的なアプローチです。
ポリシーなき企業が陥る3つのリスク
セキュリティポリシーが整備されていない企業がどのような状況に置かれるか、現場でよく見られる3つのパターンを紹介します。
【リスク1】退職者アカウントが長期間放置される
「退職翌日にはアカウント無効化」とポリシーで定めていない企業では、対応が担当者任せになります。引き継ぎの混乱や繁忙期が重なると、退職後1か月以上アカウントが有効なまま放置されることも珍しくありません。
攻撃者は「退職者アカウント」を積極的に狙います。本人も気づきにくく、ログを見ても「元社員かな」と見過ごされるためです。実際、中小企業のインシデント原因の一つに「退職者アカウントの不正利用」があることを覚えておいてください。
【リスク2】私物デバイスが会社データの抜け道になる
「業務効率化のため」と個人スマートフォンやUSBメモリを使っている社員が、実は最大のリスク要因になっているケースがあります。
私物デバイスはウイルス対策やOSアップデートの適用が会社管理の外にあります。マルウェアに感染した私物PCが社内ネットワークに接続された瞬間、内部ネットワーク全体が汚染される可能性があります。
ポリシーがなければ「禁止」とも言えず、インシデント後に初めて慌てて規制することになります。
【リスク3】インシデント発生時に何もできない
不審なメールが届いた、社員がフィッシングサイトにアクセスしてしまった——こうした事態が起きたとき、対応手順が決まっていなければ初動が遅れます。
「まず誰に報告するか」「どの端末を隔離するか」「いつ経営者に報告するか」——これらをポリシー・手順書として事前に定めておくことが、被害を最小化する唯一の手段です。
手順書がなければ、インシデント発生の混乱の中でゼロから考える羽目になります。その間にも被害は広がり続けます。
セキュリティポリシーの3層構造
セキュリティポリシーは、一枚の文書ではなく3層構造で整備するのが標準です。いきなりすべてを作る必要はありませんが、この構造を知った上で優先順位を決めることが重要です。
1. 基本方針(情報セキュリティ方針書)
経営者のトップダウンメッセージとして、「なぜ情報セキュリティに取り組むのか」を宣言する文書です。
・分量: A4で1〜2ページ程度
・内容: 会社のセキュリティに対する姿勢、適用範囲(対象となる社員・システム)、改訂方針
・作成者: 情シスが草案を書き、経営者が署名・承認する
・公開先: 社内ポータル、採用サイト、取引先提出用
この文書があるだけで、取引先や顧客に「セキュリティへの姿勢」を示すことができます。まずここから着手するのが最短ルートです。経営者の署名が入っているかどうかが、社員の遵守率に直結します。
2. 対策基準(情報セキュリティ対策基準)
「何をすべきで、何をしてはいけないか」を具体的に定めた中核文書です。
・分量: 20〜50ページ程度(テーマ別に章立て)
・主なテーマ:
・アクセス制御: パスワードルール(文字数・更新頻度)、多要素認証の要否
・デバイス管理: 私物デバイスの可否、暗号化の義務、紛失時の報告フロー
・インターネット利用: 業務外サイト閲覧の可否、クラウドサービスの申請方法
・メール利用: 添付ファイルの取り扱い、外部転送の禁止、フィッシング疑い時の報告先
・物理セキュリティ: 入退室管理、書類の鍵保管、クリアデスクポリシー
すべてを一から書く必要はありません。IPA(情報処理推進機構)が無料で提供している「情報セキュリティ関連規程(サンプル)」をベースに自社の実態に合わせて修正するのが現実的です。
3. 手順書(操作マニュアル・対応フロー)
最も実務に近い層で、「具体的にどう操作・対応するか」を記述します。
・内容例:
・インシデント対応フロー(発見→報告→隔離→調査→復旧→報告の6フェーズ)
・新入社員のアカウント発行チェックリスト
・退職者のアカウント無効化・データ引き継ぎ手順
・クラウドサービス申請フォームと審査・承認手順
この層は担当者が変わってもすぐ使えるよう、スクリーンショットや図解を交えた「誰でも分かる」レベルで作成します。情シス1人体制の企業では、この手順書が「自分が不在のときの引き継ぎ書」にもなります。
情シス1人でも作れる!ポリシー策定の5ステップ
「ポリシーを作りたいけど、どこから手をつけていいか分からない」——こういった相談をよく受けます。以下の5ステップで進めれば、専任部門がなくても整備できます。
Step 1. 現状把握(資産台帳の作成)
まず、「守るべき情報資産」を棚卸しします。
・ハードウェア: PC・スマートフォン・サーバー・NASの台数と管理状況
・ソフトウェア・クラウド: 使用しているSaaSの一覧(契約者・利用部署・アカウント数)
・データ: 個人情報・顧客情報・財務情報がどこに・何件あるか
台帳化はシンプルなスプレッドシートで十分です。「何を守るか」が見えないまま対策しても、穴だらけになります。この棚卸し作業が、後のすべての対策の基盤になります。
Step 2. リスクの洗い出し
資産台帳ができたら、各資産に対するリスクを考えます。「資産×脅威×脆弱性」の3軸で整理するとシンプルです。
例: 顧客情報(資産)× フィッシングメール(脅威)× 社員のセキュリティ意識が低い(脆弱性)
このリスクを一覧化し、「発生可能性」と「被害の大きさ」の2軸でマッピングすると、優先度が見えてきます。IPA(情報処理推進機構)が公開している「情報セキュリティ10大脅威」を参照すると、自社に当てはまるリスクを見落としにくくなります。
Step 3. 優先度付けとルール草案作成
すべてのリスクに同時に対処しようとすると必ず頓挫します。まず「高リスク×低コスト」の対策から着手してください。
・多要素認証の全サービス導入: 無料〜低コストで実現できる最大の対策
・退職者アカウント即時無効化フローの確立: チェックリスト1枚から始められる
・パスワードマネージャーの全社導入: 1人あたり月数百円で運用可能
・OS・ソフトウェアの月次アップデート確認: スプレッドシート1枚で管理できる
これらに対応したルールを「対策基準」の草案として文書化します。
Step 4. 経営承認と全社周知
情シスが単独でポリシーを作っても、経営者の承認がなければ「情シスが勝手に作ったルール」になります。社員への遵守義務が生まれず、守られないルールになります。
必ず経営者の承認サインを得た上で、全社員への周知を行ってください。
・メールまたは社内チャット: ポリシーの要点を要約して送付
・署名付き確認書: 「私はセキュリティポリシーを読み、遵守することを誓います」への署名回収
・入社時研修への組み込み: 新入社員は必ず読んでもらう仕組みを作る
「知らなかった」を言い訳にさせない体制を作ることが目的です。
Step 5. 年1回の見直しサイクル
セキュリティの脅威は毎年変化します。一度作ったポリシーを5年放置していては、時代遅れのルールが社員の足かせになるだけです。年1回の定期見直しをカレンダーに入れ、以下の観点でチェックしてください。
・新たに導入したシステム・クラウドサービスがポリシーに反映されているか
・前年度のインシデント・ヒヤリハットから学ぶべき点はないか
・法改正(個人情報保護法、不正アクセス禁止法等)への対応が必要か
# 年次ポリシー見直しチェックリスト(最低限の確認事項) # 1. 資産台帳の更新(新規デバイス・廃棄デバイスの反映) # 2. アカウント一覧の棚卸し(在籍者のみに絞られているか) # 3. クラウドサービス一覧の更新(新規導入・退会済みの反映) # 4. インシデント記録の振り返りとルールへの反映 # 5. 経営者再承認とバージョン番号更新(例: v1.0→v2.0)
中小企業でも今日からできること
「ゼロから作るのはハードルが高い」と感じている方には、既存のひな形(テンプレート)を活用することをおすすめします。
IPAが公開している「情報セキュリティ関連規程(サンプル)」は、中小企業を想定して作られたひな形で、無料でダウンロードできます。基本方針・対策基準・手順書の3層に対応した文書が揃っており、自社の実態に合わせて修正するだけで活用できます。
また、認定支援機関(よろず支援拠点・中小企業診断士等)やITベンダーのサポートを活用することも選択肢の一つです。ただし外部に頼りっぱなしにするのではなく、最終的に「自社でメンテナンスできる状態」に持っていくことが重要です。
すぐに始められる3つのアクション:
・今週中にできること: IPAのサンプルをダウンロードし、自社と比較して「ない項目」をリストアップする
・今月中にできること: 資産台帳(スプレッドシート)を作り、使用しているSaaSの一覧を完成させる
・3か月以内にできること: 基本方針(A4 1〜2ページ)を経営者と一緒に作成し、全社員に周知する
姉妹サイトLinuxMaster.JPでは、Linuxサーバーのアクセス権限管理・ログ監視など、ポリシーで定めたルールを技術的に実装するための詳細手順を解説しています。ポリシー策定と合わせてご活用ください。
よくある誤解と注意点
セキュリティポリシー策定に取り組む際、現場でよく見かける誤解をまとめました。
【誤解1】ポリシーは「作れば終わり」ではない
ポリシーは作成した瞬間から劣化が始まります。定期見直しと実際の運用への反映を継続することが本来の目的です。「作った」という事実に満足して引き出しにしまうのは最も危険なパターンです。
【誤解2】厳しすぎるルールは逆効果
「すべてのUSBメモリを禁止する」「クラウドサービスは一切禁止する」——こうした極端なルールは、社員が抜け道を作るか、業務効率が著しく低下するかのどちらかです。
「守れるルール」を作ることがポリシー策定の本質です。禁止の前に「承認を得れば使える」代替手段を用意することで、遵守率が大幅に改善します。
【誤解3】ポリシーさえあれば攻撃は防げる
ポリシーはあくまで「ルール」であり、技術的対策(多要素認証・EDR・ファイアウォール等)と組み合わせて初めて機能します。ポリシーだけで「うちはセキュリティ対策をしている」とは言えません。人・ルール・技術の3つが揃った状態が目標です。
【注意】法律に関わる記述は専門家確認を
個人情報保護法上の「安全管理措置」の要件や、不正アクセス禁止法に関わるポリシーの表現については、法律の専門家(弁護士・社会保険労務士等)への確認をおすすめします。特に「違反時の処罰規定」を就業規則と連動させる場合は、労務上の手続きが必要になります。詳細は法律の専門家にご確認ください。
本記事のまとめ
セキュリティポリシーは、大企業だけのものではなく、情シス1人体制の中小企業にとってこそ重要な「経営の基盤」です。
| フェーズ | やること | 目安期間 |
|---|---|---|
| Step 1 | 資産台帳の作成(PC・SaaS・データ) | 1〜2週間 |
| Step 2 | リスクの洗い出しと優先度付け | 1週間 |
| Step 3 | 対策基準の草案作成(IPAサンプル活用) | 2〜4週間 |
| Step 4 | 経営承認・全社周知・署名回収 | 1〜2週間 |
| Step 5 | 年1回の見直しサイクル(継続運用) | 毎年 |
「完璧なポリシー」を目指す必要はありません。まず「基本方針1枚」から始めることで、ゼロの状態から大きく前進できます。セキュリティの世界では、「何もない」と「何かある」の差が最も大きいのです。
セキュリティ対策、何から手をつければいいか分からないと悩んでいませんか?
情シス1人でも進められるセキュリティ対策のノウハウを、メルマガで実践的にお届けしています。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント