こんにちは。non-standard worldの佐藤です。

コーポレートサイトを運用していて、ある機能についてセキュリティについての指摘を受けたものの、その機能をなくすと利便性が落ちる場合など、どうすべきか判断に迷うことはないでしょうか？

そのような場合、「セキュリティポリシー」があるとブレなく合理的な判断を下すことができます。セキュリティポリシーとは、情報セキュリティについて定めた規則のことで、個人情報の管理方針やリスク管理の方法なども含まれます。

今日はセキュリティポリシーの必要性について考えてみたいと思います。

セキュリティにまつわるトレードオフ

まず前提となる考え方として、セキュリティには以下2つの「トレードオフ」があります。

1. セキュリティ vs コスト

家や車と同じようにコストをかければかけるほど、安全性は高まっていきます。しかし、現実的には支払える費用の上限というものがあります。

2. セキュリティ vs 利便性

包丁は人を傷つける道具としても使えますが、だからといって使用を禁止してしまうと料理ができません。つまり、悪用できる可能性があるからといってその機能を停止すると、利便性が著しく損なわれることがあるのです。

セキュリティについては、必ずこうしたトレードオフが存在します。そして、どのレベルでのトレードオフを行うか、それを決めるためのルールとして「セキュリティポリシー」が必要なのです。

セキュリティポリシーがない場合の問題点

さて、｢セキュリティポリシー」がない場合、どのような問題が生じるのでしょうか。

1. 担当者によって判断にバラつきが出る

基準なしで個別判断が行われることで、指摘があった部分にはものすごく厳しいが、指摘がない部分にはもの凄く甘いといった、セキュリティレベルのバラつきが生まれます。また、過去OKとされたことが、別の人の判断により覆される可能性があります。

2. 過剰な自主規制が行われる

セキュリティポリシーは、「何をしたらダメか」を定めるだけでなく、「どのような条件なら何をしてもよいか」という判断基準にもなります。基準がない場合、過剰なリスク回避が発生し、業務効率の著しい低下をもたらします。

安全かつ、効率的な運用をするために必要なもの

以上のように、｢セキュリティポリシー」は、安全かつ、効率的なサイト運用を行うために重要な役割を果たします。セキュリティポリシーの策定には、社内調整や専門家への相談などそれなりに労力を要するものではありますが、その後の運用効率は大きく改善されるので、ポリシーが存在しない場合にはぜひ策定に取り組まれることをおすすめします。

---

｢コーポレートサイト担当者のお悩み解決！｣ のコーナーでは、企業のWeb担当者さまが普段から抱えている疑問・質問を一般募集しております。
ご質問を弊社ブログにて紹介させていただいた方には、オリジナルのポストカードセットをプレゼント。
下記の「ご意見ご感想 送信フォーム」より、どんな小さな疑問でもお気軽にお寄せください。
＊ブログ掲載時に、質問者様の会社名やお名前が公開されることはありませんのでご安心ください。