ユーザーが1人だけのマシンから何千ものユーザーが利用する企業レベルのサーバーまで、すべてのシステムにはセキュリティポリシーが必要です。セキュリティポリシーとは、あるシステムで特定のアクティビティやアプリケーションを実行または利用すべきか否かを、そのシステムの目的に照らして判断するための一連のガイドラインです。
セキュリティポリシーはシステムごとに大きく異なりますが、企業のポリシーマニュアルとして文書化されているか否かにかかわらず、そのシステム向けのポリシーが存在していることが最も重要です。
セキュリティポリシーは、以下のような点を指針として構築する必要があります。
複雑にせず、単純にする—セキュリティポリシーが単純であるほど、それらの指針は遵守され、システムの安全が維持されます。
管理は困難にせず、簡単にする—他のものと同様、セキュリティ手法やツールも、新たな要求や必要性に応じて変更されることがよくあります。セキュリティポリシーは、変更がシステムやユーザーに与える影響を最小限にするように作成すべきです。
システムの使い勝手を犠牲にせずに、システムの安全性を強化することによってむしろ自由度を高める—システムの安全性を高める際に、セキュリティ手法やツールがシステムの有用性を不必要に低下させてしまわないようにします。質の高いセキュリティ手法やツールのほとんどは、システムの安全性を高めると同時に、可能なかぎりユーザーの選択の幅も広げてくれます。
セキュリティを過信せず、リスクがあることを念頭におく—セキュリティ上の問題が生じるのは、自分のシステムで問題が起こるはずがないと過信することが一番の原因です。対策を講じてあるからといって安心せず、常に用心し続ける必要があります。
理論上の問題にばかり捕われず、現実の問題に集中する—最も重大な現実の問題への対処に時間と労力を注ぎ、そこから着手するようにします。問題への取り組みに優先順位をつけ、大きな穴から順にふさいでいくようにします。最初に取り組むべき項目を判断する際には、http://www.sans.org/topten.htmや同様のWebサイトを参考にするとよいでしょう。多大な脅威を与えているセキュリティ上の問題や、それらへの対処法が詳しく説明されています。
先延ばしにせず、即座に—問題を発見し、リスクがあると判断したら、すぐに対処します。後で対処することが可能かどうか、頭を悩ませるべきではありません。特に、システムがリスクにさらされている場合には、対処すべき時は今以外にありません。
セキュリティポリシーが制限的になりすぎて、そのシステム本来の有用性が阻害されていることが判明した場合は、セキュリティポリシーを変更してシステムへのアクセスを緩めることを検討します。同様に、システムのセキュリティが頻繁に侵害されることが判明した場合は、セキュリティポリシーの一部を変更してアクセスを厳しくします。セキュリティポリシーは、固定的な文書や考え方ではないことを覚えておいてください。システムの目的やユーザーの変更の必要に応じて、修正されるべきものです。現在のセキュリティポリシーが現実の要件を反映したものかどうか、常に検討するようにしてください。