私には「情報セキュリティ」の基本的な知識が不足していました。
より正確にいうと、ITまわりの「情報セキュリティ」ですね。

「P2Pソフトによる情報漏洩事件があった」と聞くと、「ああそうなのね」と起こったことは一応理解できるのですが、そもそもP2Pソフトの仕組みがどうなっているのか、というようなことはさっぱりわかりません。
「フィッシング」も、ついこの間まで"fishing"だと思い込んでいたくらいです(笑)
※正確には"phishing"です、念のため


会社を守る法務担当者として、
「それじゃダメではないか」
と、いつ誰に突っ込まれるかわかりません。
それにシステム担当者と対等に(少なくともバカにされない程度に)話をするためにも、
「基本的なことは知っておかねば」
と考え、手に取ったのが、この本。

情報セキュリティ読本―IT時代の危機管理入門情報セキュリティ読本―IT時代の危機管理入門
(2009/08)
情報処理推進機構

商品詳細を見る


この本では「情報セキュリティ」を考えるにあたって、
「そもそもどのような危険があるのか」
「その危険はどのようなものか」
「その危険を避けるにはどうすればよいのか」
ということを、懇切丁寧に教えてくれます。

IPA(独立行政法人 情報処理推進機構のHPから、ちょっと長いのですが目次を引用します。


はじめに

第1章 今日のセキュリティリスク
 1 今日のセキュリティリスク
  1 実例1: 狙われるWebサイト - 正規のサイトでも要注意
  2 実例2: 巧妙化するフィッシング詐欺-うっかりしてると騙される?
  3 実例3: 犯罪に使われるインターネット-共犯者募集中
  4 実例4: 増加する金融取引被害-便利と危険は隣あわせ
  5 実例5: P2Pファイル交換ソフトを介した情報漏えい-知らない間に情報漏えい
 2 危険の認識と対策
  1 インターネットに潜む危険
  2 メールに潜む危険
  3 日常業務に潜む危険
  4 危険への対処法
     コラム ハッカーとクラッカー

第2章 情報セキュリティの基礎
 1 情報セキュリティとは
  1 情報セキュリティの基本概念
  2 情報資産とリスク・インシデント
 2 外部のリスク要因
  1 マルウェア
  2 外部からの侵入(不正アクセス)
  3 サーバーへの攻撃(サービス妨害)
 3 内部のリスク要因
  1 情報システムの脆弱性
  2 組織に内在する脆弱性
 4 情報リテラシーと情報倫理
     コラム SPAM(スパム)とWinny(ウィニー)



第3章 見えない脅威とその対策 -個人レベルのセキュリティ対策-
 1 マルウェア -見えない化が進む
  1 マルウェアとは?
  2 マルウェアに感染するとどうなるか?
     コラム キーロガー
  3 マルウェア感染の原因
     コラム マルウェアのタイプあれこれ
 2 共通の対策
  1 脆弱性の解消
  2 ウイルス対策ソフトウェアのインストールと更新
  3 パーソナルファイアウォールの活用
  4 Webブラウザのセキュリティ設定
  5 ネットサーフィンの危険性とその対策
     コラム セキュリティの設定
  6 メールソフトのセキュリティ設定
  7 不審な添付ファイル、迷惑メールの取り扱いに対する注意
  8 その他の注意点
  9 いざ、という時のために
     コラム サイバークリーンセンター(CCC)
 3 標的型攻撃と誘導型攻撃への対策
  1 標的型攻撃とその対策
  2 誘導型攻撃とその対策
 4 フィッシング詐欺への対策
  1 フィッシング詐欺とは
  2 フィッシング詐欺への対策
  3 ますます巧妙化するフィッシング詐欺
 5 ワンクリック不正請求への対策
  1 ワンクリック不正請求とは
  2 ワンクリック不正請求への対策
  3 スパイウェアによる不正請求
 6 無線LANに潜む脅威とその対策
  1 無線LANの危険性
  2 無線LANのセキュリティ対策
  3 無線LANの設定は難しい



 第4章 組織の一員としての情報セキュリティ対策
 1 組織のセキュリティ対策
  1 計画(Plan)-体制の整備とポリシーの策定
  2 実行(Do)-導入と運用
  3 点検(Check)-監視と評価
     コラム 情報セキュリティ対策ベンチマーク
  4 処置(Act)-見直しと改善
 2 従業員としての心得
     コラム セキュリティ対策ソフトの押し売り?
 3 気を付けたい情報漏えい
     コラム ソーシャルエンジニアリングに注意
 4 終わりのないプロセス



第5章 もっと知りたいセキュリティ技術
 1 アカウント,ID,パスワード
  1 パスワードの重要性
  2 パスワードクラッキング
  3 パスワードを保護するための対策
  4 さまざまな認証方式
 2 攻撃手法
  1 事前調査
  2 権限取得
  3 不正実行
  4 後処理
 3 脆弱性を悪用する攻撃
  1 ポートと脆弱性
  2 脆弱性を悪用する攻撃
 4 ファイアウォール
  1 ファイアウォールとは?
  2 パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス
  3 ネットワークアドレス変換技術(NAT)
  4 DMZ(DeMilitarized Zone:非武装地帯)
  5 ファイアーウォールの落とし穴
  6 パーソナルファイアーウォール
 5 暗号とディジタル署名
  1 暗号技術とは?
  2 ディジタル署名とは?
  3 認証局とは?
     コラム ハッシュ関数とメッセージダイジェスト
  4 身近に使われている暗号技術



第6章 情報セキュリティ関連の法規と制度
 1 情報セキュリティの国際標準
  1 情報セキュリティマネジメントの国際標準27000シリーズ
  2 セキュリティ製品の評価認証のための国際標準ISO/IEC15408
  3 OECD情報セキュリティガイドライン
 2 情報セキュリティに関する法律
  1 刑法
  2 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)
  3 電子署名及び認証業務に関する法律(電子署名法)
  4 個人情報の保護に関する法律(個人情報保護法)
 3 知的財産を守る法律
  1 著作権法
  3 不正競争防止法
 4 迷惑メール関連法
 5 情報セキュリティ関連制度
  1 ISMS適合性評価制度
  2 ITセキュリティ評価及び認証制度
  3 暗号モジュール試験及び認証制度
  4 プライバシーマーク制度
  5 情報セキュリティ監査制度
  6 コンピュータウイルス及び不正アクセスに関する届出制度
  7 脆弱性関連情報に関する届出制度



第7章 IPAセキュリティセンターの活動

資料1 情報セキュリティ関連URL集
資料2 用語集
索引
資料3 ウイルスのタイプ一覧



このあたりの知識が豊富な方にとっては退屈な内容かも知れませんが、そうでない方にとっては非常に興味をそそられる目次ではないでしょうか。

そしてこの本の何がいいって、「資料2 用語集」という名の索引がしっかりしている点。
この索引が非常にしっかり作られているところが素晴らしい。
「用語集」というだけあって、それぞれの用語の簡単な解説もついているし、本編との紐付けもしっかりしているので、索引としても用語集としても秀逸な仕上がりになっています。

ほんの100ページちょっとの薄い「小冊子」なのですが、情報セキュリティに関しての「とっかかり」には最高の一冊ではないかと思います。


とはいえ、この一冊を読んだだけでは、
「じゃあ、情報セキュリティのためにウチの会社は何をすんべか?」
ということは全くわかりません。

そこで姉妹本の登場。

情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
(2009/03)
情報処理推進機構土居 範久

商品詳細を見る


こちらは一気にレベルが上がって、じっくり腰を据えて読まないと(少なくとも私には)ちんぷんかんぷんなレベルです。
ただ、気になったところを拾い読みをするだけでも、「セキュリティポリシー」とは何ぞやというところから、「セキュリティポリシーの一般的な構成」、さらには「こんな感じでどうでしょ?」というところまで理解できます。
途中からえらくややこしい話になってくるので、法務担当者としては「お腹いっぱい」になってしまうかも知れません。
しかし「これからの法務担当者は、このくらいのことは知っておかなきゃイカンのかもなあ」と、若干ひとごとのようですが、感じています。
特に私の場合、内部監査も担当しているので、知らないでは済まされないようにも思います。

そんなわけで、とっても長いのですが、やはり目次を引用しておきます。


目次

「情報セキュリティ教本 改訂版」の発刊によせて

1章 はじめに
1.ITと情報セキュリティ
 1.増大する脅威と情報セキュリティの重要性
 2.情報セキュリティのガイドライン
 3.本書の使い方
2.緊急事態発生!
 1.エピソード1【ファイル交換ソフトで情報漏えい】
 2.エピソード2【Webサイトから情報漏えい】
 3.エピソード3【ノートパソコンの紛失・盗難】
 4.エピソード4【敵は内部にいた!】
3.基本的な考え方
 1.全体を見通してみる
 2.情報資産と情報セキュリティ
 3.情報セキュリティの定義と情報セキュリティの3要素
4.情報セキュリティマネジメントシステムとPDCAサイクル
 1.ISMSとPDCAサイクル
 2.PDCAとプロセスアプローチ
 3.情報セキュリティ対策実施の成功要因

2章 情報セキュリティの組織
1.情報セキュリティの組織と体制づくり
 1.情報セキュリティ対策推進のポイント
 2.経営者の役割
 3.管理体制の構築
 4.情報セキュリティ委員会と専門家による助言
 5.情報セキュリティの推進体制
 6.違反と例外措置
2.情報セキュリティの組織と体制の例

3章 情報セキュリティポリシーのつくり方
1.情報セキュリティポリシーとは
 1.情報セキュリティポリシーの文書構成
 2.ガイドラインと実施手順
 3.適用対象範囲や規程類との関係
 4.情報セキュリティポリシー策定の流れ
2.情報セキュリティ基本方針
 1.情報セキュリティ基本方針の概要
 2.情報セキュリティ基本方針の項目例
3.情報セキュリティ対策基準
 1.管理策集(JIS Q 27002:2006)
 2.政府機関の情報セキュリティ対策のための統一基準(政府機関統一基準)
 3.地方公共団体における情報セキュリティポリシーに関するガイドライン
 4.JNSA「情報セキュリティポリシー・サンプル0.92a版」
 5.対策基準の構成と策定のポイント
4.情報セキュリティ実施手順
 1.情報セキュリティ実施手順の概要と策定の観点
 2.政府統一基準における対策基準と実施手順・ガイドラインの関係
5.情報セキュリティポリシー策定のポイント

4章 情報の分類と管理
1.情報資産の洗い出しと管理責任者の決定
 1.情報資産の洗い出し
2.情報資産洗い出しの手順
 3.情報資産のグループ分け
 4.情報資産管理台帳
 5.情報の管理責任者
2.情報資産の分類と格付け
 1.情報の分類と格付けのための基準
 2.格付けと取扱い制限の明示
 3.情報の利用者とNeed to knowの原則
3.情報のライフサイクルとその取扱い(情報の管理)
1.情報のライフサイクル
 2.情報の作成と入手
 3.情報の利用
 4.情報の保存
 5.情報の移送
 6.情報の提供
 7.情報の消去
 8.情報のライフサイクルと個人情報保護対策
4.情報の分類と管理のポイント

5章 リスクマネジメント
1.リスクマネジメントとリスクマネジメントシステム
 1.リスクとは
 2.リスクマネジメントとリスクマネジメントシステム
 3.リスクマネジメントに関する規格類
2.リスクアセスメント
 1.情報資産価値の評価
 2.脅威(threat)
 3.脆弱性(vulnerability)
 4.リスクの算定
 5.リスク評価
3.GMITSに見るリスク分析手法
 1.ベースラインアプローチ
 2.非形式的アプローチ
 3.詳細リスク分析
 4.組合せアプローチ
4.リスク対応
 1.リスクの低減(適切な管理策の採用)
 2.リスクの保有
 3.リスクの回避
 4.リスクの移転
 5.リスクの受容
 6.リスクコミュニケーション
 7.リスクマネジメントの記録
5.リスクマネジメントの例
 1.ISMSユーザーズガイドに見るリスクマネジメント
 2.政府機関統一基準に見るリスクマネジメント
 3.NISTガイドラインに見るリスクマネジメント
6.リスクマネジメントのポイント

6章 技術的対策の基本
1.技術的対策における基本的機能と脅威
 1.情報セキュリティにおける基本機能
 2.情報セキュリティにおける脅威
2.主体認証
 1.主体認証とは
 2.主体認証の方法
 3.主体認証に関する管理策
3.アクセス制御
 1.アクセス制御とは
 2.任意アクセス制御と強制アクセス制御
 3.アクセス制御に関する管理策
4.権限管理
 1.権限管理とは
 2.特権ユーザと最小権限
 3.権限管理に関する管理策
5.証跡管理(ログの管理)
 1.証跡とは
 2.ログの取得
 3.ログの保存と管理
 4.ログの点検、分析および報告
5.ログ管理に関する管理策
6.暗号と電子署名
 1.暗号と電子署名の概要
2.暗号の危殆化
 3.鍵管理
7.パソコン上のデータ保護
 1.パソコン上のデータ保護について
 2.USBメモリの暗号化について
 3.ノートパソコン上のデータの暗号化について
8.セキュリティホール対策(脆弱性対策)
 1.セキュリティホール(脆弱性)とは
 2.脆弱性対策
9.不正プログラム対策
 1.不正プログラムとは
 2.不正プログラム対策
10. サービス不能攻撃対策(DoS/DDoS攻撃対策)
1.サービス不能攻撃とは
 2.サービス不能攻撃対策
11.技術的対策の基本:まとめ

7章 セキュリティ製品とセキュリティサービス
1.セキュリティ製品の導入にあたって
2.ネットワークセキュリティ製品
1.ファイアウォール
 2.WAF(Webアプリケーションファイアウォール)
 3.IDS(侵入検知システム)とIPS(侵入防止システム)
4.VPN(Virtual Private Network)
5.検疫システム
3.認証製品
 1.PKI関連製品
2.認証サーバ
 3.ワンタイムパスワード
 4.ICカード/スマートカード
5.バイオメトリック認証(Biometric Authentication)
6.シングルサインオン(Single Sign-On)
4.データセキュリティ関連製品
 1.情報漏えい防止ソリューション
 2.メールセキュリティ
5.ウイルスなどの不正プログラム、スパム、フィッシング゙対策
1.ウイルス対策ソフトウェア、スパイウェア対策ソフトウェア
 2.スパムフィルタリングソフトウェア
 3.フィッシング対策ソフトウェア
6.その他
 1.UTM(Unified Threat Management:統合脅威管理)
2.コンテンツフィルタリングソフトウェア
 3.完全性チェックツール
 4.フォレンジックツール
7.セキュリティサービス
 1.コンサルティングサービス、セキュリティ教育など
 2.セキュリティ監視、検知、運用管理サービス
 3.電子認証サービス
 4.タイムスタンプサービス
8.製品の選定と購入

8章 導入と運用
1.導入と運用にあたって
 2.情報セキュリティポリシーの周知と徹底
  1.告知
  2.情報セキュリティ教育
3.従業員の管理と外部委託先の管理
1.従業員の管理
2.外部委託先の管理
3.ソフトウェア開発の委託
 4.事業継続管理、緊急時対応、インシデント対応
  1.緊急時対応に関する諸計画
  2.事業継続計画
  3.ケーススタディ:パソコン紛失時の対応
  4.インシデント対応:原因究明と証拠保全
  5.平時における準備
5.情報システムの導入と運用
  1.情報システムの設定と運用開始
  2.施設と環境(物理的および環境的セキュリティ)
  3.ホストセキュリティ(サーバ・端末・通信装置等に関する対策)
  4.ネットワークセキュリティ(通信回線との接続)
  5.アプリケーションセキュリティ(電子メールやWebに関する対策)
  6.バックアップ

9章 セキュリティ監視と侵入検知
1.セキュリティ監視
 1.セキュリティ監視とは
 2.脆弱性検査と侵入検知の概要
2.脆弱性検査
 1.脆弱性検査のポイント
 2.Webサイトの脆弱性検査
 3.チェックリストによるWebサイトの脆弱性検査
 4.脆弱性検査ツール
3.侵入検知
 1.侵入検知ツール
 2.Webサイトの監視・検知

10章 セキュリティ評価
1.セキュリティ評価とは
 1.セキュリティ評価の目的
 2.誰が誰を評価する?
2.情報セキュリティ対策実施状況の評価
 1.自己点検
 2.情報セキュリティ対策ベンチマーク
 3.情報セキュリティ監査
 4.ISMS適合評価制度
 5.情報セキュリティマネジメントに関する規格類
3.製品調達におけるセキュリティ評価の活用
 1.ITセキュリティ評価及び認証制度
 2.暗号モジュール試験及び認証制度(JCMVP)
4.適合性評価(Conformity Assessment)
 1.適合性評価制度の概要

11章 見直しと改善
1.見直しと改善のプロセス
2.見直しの契機と対応
 1.定期的な見直し
 2.環境の変化に伴う見直し
 3.セキュリティ事件・事故の発生に伴う見直し

12章 法令遵守
1.法蓮遵守と情報セキュリティ
2.情報セキュリティに関連する法律
 1.個人情報の保護に関する法律(個人情報保護法)
2.不正アクセス行為の禁止に関する法律(不正アクセス法)
3.不正競争防止法
4.e-文書法

13章 内部統制と情報セキュリティ
1.コーポーレートガバナンス・リスク管理・内部統制
2.金融商品取引法
3.会社法
4.内部統制に関する基準やガイドライン
5.ITへの対応

付章
1.政府機関統一基準の構成と本書の関係
2.政府機関統一基準第4部と第5部との関係

資料1 JIS Q 27002:2006箇条、セキュリティカテゴリ、管理策(タイトル)一覧
資料2 参考文献 参考URL
資料3 図表出典
索引
情報セキュリティ関連年表



法務担当者としては、社内規程の雛型などが載っていれば、「最高の一冊」になったのではないかと思うのですが、それは他の書籍やWebにあたればよいかと思います。
とはいえ、会社によって情報セキュリティに対する考え方は全く異なるでしょうから、雛型というものがあっても大幅にアレンジする必要があるとは思います。

この点については、「規程や規則で大枠を決め、マニュアルレベルで実運用の細かな点を取り決める」
というのが、現実的かつ機動的なルール策定のポイントになるのではないかと、個人的には思います。