組織がセキュリティポリシーを持っていない、あるいは持っていても実効性が乏しいというケースは数多い。なぜこんなことになってしまったのか。実効性のあるセキュリティポリシーを構築するためのポイントとは? 「セキュリティポリシー」という言葉が広く使われ出したのは、2000年頃から情報セキュリティ対策が大切という認識が広がり始めて以後のことだ。いまや、誰もが「まずセキュリティポリシーを作りましょう」という。 とはいえ、セキュリティポリシーを持っていない組織がまだまだたくさんあるのも事実だ。さらに、私の友人であるセキュリティコンサルタントの皆さんと話をすると、最近「とりあえずセキュリティポリシーを作ってみたものの、実効性のないものになってしまった、どうしたらよいか」という相談が持ち込まれるケースも多いと聞く。 つまり、この両方を合わせて考えると、(1)セキュリティポリシーを持たない企業は数多い、(2)