【サイバーセキュリティ】セキュリティ管理規定の作り方 ― 中小企業が最低限整備すべきルールと規程サンプル
~ アカウント管理規程・リモートワーク規程のサンプル付きで、自社のルールを今日から整備する ~
「ツールを入れれば対策完了」と思っていませんか?
UTMやEDRといったセキュリティツールを導入しても、それだけではセキュリティ対策は完成しません。従業員が「password123」というパスワードを使い続けたり、カフェのフリーWi-Fiから社内システムにアクセスしたりしていれば、どんな高額なツールも無力です。
セキュリティ管理規程は、「人」の行動を適切にコントロールするためのルールブックです。NISTサイバーセキュリティフレームワークの「防御(Protect)」フェーズに位置し、ツール(モノ)と並ぶ対策の両輪です。
本記事では、中小企業が最低限整備すべきセキュリティ管理規程の全体像と、特に重要なアカウント管理規程とリモートワーク規程のサンプルを掲載します。
💡 セキュリティ対策の全体像
本記事は、NISTサイバーセキュリティフレームワークに基づく対策体系の「防御(Protect)」フェーズに該当します。対策の全体像については「【サイバーセキュリティ】セキュリティ対策の全体像がわかるようになる」をご覧ください。
この記事でわかること
- セキュリティ管理規程とは何か、なぜ必要なのか
- 中小企業が整備すべき規程の体系
- アカウント管理規程のサンプル(全文)
- リモートワーク規程のサンプル(全文)
- 規程を「絵に描いた餅」にしないための運用のコツ
1. セキュリティ管理規程とは何か ― 「交通ルール」のセキュリティ版
そもそもセキュリティ管理規程とは?
セキュリティ管理規程とは、自社の情報セキュリティに関する行動ルール・手順・責任分担を文書化したものです。
道路交通法がなければ車は安全に走れないように、セキュリティ管理規程がなければITシステムは安全に運用できません。「パスワードは何文字以上にするのか」「退職者のアカウントはいつまでに無効化するのか」「テレワーク時にVPNを使うのか」――こうした具体的なルールを明文化し、全従業員が守るべき基準として共有するのがセキュリティ管理規程です。
なぜ規程が必要なのか ― 「暗黙の了解」の限界
小規模な会社では、「うちは少人数だから暗黙の了解で十分」と考えがちです。しかし、暗黙の了解には以下の問題があります。
- 人によって解釈が違う: 「パスワードは定期的に変えろ」の「定期的」が、ある人には1ヶ月、別の人には1年
- 新人に伝わらない: 入社したばかりの従業員は、暗黙のルールを知らない
- インシデント時に責任が不明確: 「誰が何をすべきだったのか」が定まっていない
- 取引先・監査への説明ができない: 「ルールはありますが、文書化していません」は通用しない
規程は「あたりまえのこと」を文書にする作業です。当たり前のことだからこそ、全員が同じ基準で行動するために明文化が必要です。
2. 中小企業が整備すべき規程の体系
セキュリティ規程の階層構造
セキュリティに関する規程は、以下の3階層で構成するのが一般的です。
| 階層 | 文書名 | 内容 | 対象 |
|---|---|---|---|
| 第1層 | 情報セキュリティ基本方針 | 経営層のセキュリティに対する基本姿勢・方針 | 全社 |
| 第2層 | 各種管理規程 | 具体的な管理ルール(アカウント管理、リモートワーク等) | 対象部門・担当者 |
| 第3層 | 手順書・マニュアル | 規程を実行するための具体的な操作手順 | 実務担当者 |
中小企業の場合、まずは第1層(基本方針)と第2層(管理規程)を優先的に整備し、第3層(手順書)は必要に応じて追加していくのが現実的です。
中小企業が最低限整備すべき5つの規程
| No. | 規程名 | 主な内容 | 優先度 |
|---|---|---|---|
| 1 | 情報セキュリティ基本方針 | 経営層のコミットメント、適用範囲、基本原則 | 最優先 |
| 2 | アカウント管理規程 | パスワードポリシー、アカウントの発行・変更・削除 | 最優先 |
| 3 | リモートワーク規程 | テレワーク時のセキュリティルール、BYOD | 高 |
| 4 | インシデント対応規程 | 事故発生時の初動手順、報告・連絡体制 | 高 |
| 5 | データ管理規程 | データの分類基準、保存・廃棄ルール | 中 |
本記事では、特にニーズの高いアカウント管理規程とリモートワーク規程のサンプルを掲載します。
3. 【サンプル】アカウント管理規程
以下は、従業員30名規模の中小企業を想定したアカウント管理規程のサンプルです。自社の状況に合わせてカスタマイズしてご利用ください。
アカウント管理規程
第1条(目的)
本規程は、当社の情報システムにおけるアカウント(ユーザーID・パスワード等)の適切な管理を定め、不正アクセスおよび情報漏えいを防止することを目的とする。
第2条(適用範囲)
本規程は、当社の情報システム(社内ネットワーク、業務用PC、メール、クラウドサービスを含む)を利用するすべての者(正社員、契約社員、派遣社員、業務委託先を含む)に適用する。
第3条(アカウントの発行)
- アカウントの発行は、所属部門の長が情報システム管理者に申請し、承認を得て行う。
- アカウントの発行にあたっては、業務上必要な最小限の権限を付与する(最小権限の原則)。
- 1人につき1つのアカウントを発行し、共有アカウントの使用は原則として禁止する。
第4条(パスワードポリシー)
- パスワードは以下の要件をすべて満たすこと。
- 12文字以上であること
- 英大文字・英小文字・数字・記号のうち、3種類以上を含むこと
- 氏名、生年月日、電話番号など、推測容易な文字列を含まないこと
- 同一のパスワードを複数のサービスで使い回さないこと。
- パスワードを紙に書いてモニターに貼付する等、第三者が容易に確認できる状態で保管しないこと。
- パスワードマネージャー(1Password、Bitwarden等)の利用を推奨する。
第5条(多要素認証)
- 以下のシステムについては、パスワードに加え多要素認証(MFA)を必須とする。
- Microsoft 365 / Google Workspace
- VPN接続
- クラウド会計ソフト
- リモートデスクトップ接続
- 多要素認証の方式は、認証アプリ(Microsoft Authenticator、Google Authenticator等)を推奨する。SMS認証は、SIMスワップ攻撃のリスクがあるため、認証アプリの利用が困難な場合に限り許可する。
第6条(アカウントの変更)
- 人事異動、役職変更により業務内容が変わった場合、所属部門の長は速やかに情報システム管理者にアクセス権限の変更を申請すること。
- 情報システム管理者は、申請に基づき7営業日以内に権限の変更を完了すること。
第7条(アカウントの無効化・削除)
- 退職者のアカウントは、最終出勤日の翌営業日までに無効化すること。
- 休職者のアカウントは、休職開始日に一時停止すること。
- 無効化後90日が経過したアカウントは、情報システム管理者が削除する。
- 退職者のメールデータおよびファイルは、所属部門の長の判断により、後任者への引き継ぎまたは削除を行う。
第8条(管理者権限の管理)
- システムの管理者権限(Administrator、root等)は、情報システム管理者および情報システム管理者が指定した者に限り付与する。
- 管理者権限を持つ者は、日常業務に一般ユーザーアカウントを使用し、管理者権限は管理作業時のみ使用すること。
- 管理者権限のアカウント一覧は、四半期ごとにレビューを行い、不要な権限を削除すること。
第9条(ログの記録)
- アカウントのログイン・ログアウト、権限変更、失敗した認証試行のログを記録し、最低1年間保存すること。
- 情報システム管理者は、月1回以上ログを確認し、不審な認証活動がないかをチェックすること。
第10条(違反時の対応)
本規程に違反した場合、就業規則に基づき懲戒処分の対象となることがある。
附則
- 本規程は20XX年XX月XX日から施行する。
- 本規程の改廃は、情報セキュリティ管理責任者の提案に基づき、経営会議の承認を得て行う。
4. 【サンプル】リモートワーク規程
以下は、テレワーク・在宅勤務を実施している中小企業向けのリモートワーク規程のサンプルです。
リモートワーク(テレワーク)セキュリティ規程
第1条(目的)
本規程は、リモートワーク(在宅勤務、サテライトオフィス勤務、モバイルワークを含む)における情報セキュリティを確保し、情報漏えい・不正アクセスを防止することを目的とする。
第2条(適用範囲)
本規程は、当社が許可したリモートワークを行うすべての者に適用する。
第3条(利用端末)
- リモートワークには、原則として会社が貸与する端末を使用すること。
- やむを得ず個人所有端末(BYOD)を使用する場合は、以下の条件をすべて満たすこと。
- OSが最新のセキュリティパッチ適用済みであること
- EPP(ウイルス対策ソフト)が導入・有効化されていること
- HDD/SSDが暗号化されていること(Windows: BitLocker、Mac: FileVault)
- 画面ロックが設定されていること(5分以内の自動ロックを推奨)
- 事前に情報システム管理者の承認を得ていること
第4条(ネットワーク接続)
- 社内システムへのアクセスは、VPN接続を必須とする。VPNを経由せずに社内システムに直接アクセスすることは禁止する。
- 公共のWi-Fi(カフェ、空港、ホテル等)からの業務アクセスは、VPN接続を経由する場合に限り許可する。
- 公共のWi-Fiに接続する際は、ネットワーク名が正規のものであることを確認すること(偽アクセスポイントに注意)。
- 自宅のWi-Fiルーターは、以下の設定を確認すること。
- ルーターの管理画面パスワードが初期値から変更されていること
- 暗号化方式がWPA3またはWPA2であること(WEPは使用禁止)
- ファームウェアが最新であること
第5条(作業環境)
- リモートワーク時の作業場所は、以下の条件を満たすこと。
- 第三者が画面を容易に覗き見できない場所であること
- 機密性の高い会話が第三者に聞こえない場所であること
- カフェや電車内など不特定多数が周囲にいる場所では、プライバシーフィルターの使用を推奨する。
- 離席時は、必ず画面をロックすること(Windows: Win+L、Mac: Ctrl+Cmd+Q)。
第6条(データの取り扱い)
- 業務データは、原則として会社指定のクラウドストレージ(SharePoint、Google Drive等)に保存すること。端末のローカルストレージへの保存は、一時的なものを除き禁止する。
- 業務データをUSBメモリ、外付けHDDなどの外部記憶媒体にコピーすることは禁止する。
- 業務データを個人のメールアドレスやクラウドサービス(個人のDropbox等)に転送することは禁止する。
- 紙の資料を自宅に持ち出す場合は、上長の承認を得ること。持ち出した資料は施錠可能な場所に保管し、不要になった時点で会社に返却またはシュレッダーで廃棄すること。
第7条(Web会議)
- Web会議のURLやパスワードを、参加者以外に共有しないこと。
- 機密性の高い議題を扱う会議では、待合室(ロビー)機能を有効にし、参加者を確認してから入室を許可すること。
- 録画・録音は、参加者全員の同意を得た上で行うこと。
第8条(インシデント発生時の対応)
- 以下の事象が発生した場合、ただちに情報システム管理者に報告すること。
- 端末の紛失・盗難
- マルウェア感染の疑い
- 不審なメールの受信・クリック
- 業務データの誤送信・漏えい
- 端末の紛失・盗難が発生した場合、情報システム管理者はただちに遠隔ロック・遠隔ワイプを実施する。
第9条(違反時の対応)
本規程に違反した場合、就業規則に基づき懲戒処分の対象となることがある。また、情報漏えい等の損害が生じた場合、損害賠償請求の対象となることがある。
附則
- 本規程は20XX年XX月XX日から施行する。
- 本規程の改廃は、情報セキュリティ管理責任者の提案に基づき、経営会議の承認を得て行う。
5. 規程を「絵に描いた餅」にしないための5つの運用のコツ
コツ1:規程は「短く、わかりやすく」
法律文書のような難解な文体は、従業員に読まれません。「12文字以上のパスワードを設定してください。使い回しは禁止です」のように、平易な日本語で書くことが重要です。
コツ2:「なぜこのルールがあるのか」を説明する
「VPN接続を義務化する」だけでは、従業員は「面倒だな」としか感じません。「VPNを使わないと、カフェのWi-Fiで通信内容が盗み見される危険があります」と理由を説明すれば、自発的な遵守につながります。
コツ3:入社時オリエンテーションで必ず説明する
規程を策定しても、「社内ポータルに掲載しました」だけでは読まれません。入社時のオリエンテーションで直接説明する時間を設け、誓約書にサインしてもらいましょう。
コツ4:年1回は全社研修で再周知する
規程の存在を忘れさせないために、年1回のセキュリティ研修で規程の要点を再周知します。最新のサイバー攻撃事例を交えて説明すると、従業員の当事者意識が高まります。
コツ5:規程を毎年見直す
IT環境やサイバー脅威は年々変化します。「在宅勤務の導入」「新しいクラウドサービスの採用」「ChatGPT等の生成AIの業務利用」など、環境変化に合わせて規程を更新してください。
6. 規程整備とSECURITY ACTIONの関係
SECURITY ACTION二つ星との接続
SECURITY ACTION二つ星の取得要件には、情報セキュリティ基本方針の策定が含まれています。本記事で紹介した規程体系の「第1層(基本方針)」がそれに該当します。
加えて、二つ星の自社診断項目には以下のような項目が含まれており、アカウント管理規程やリモートワーク規程が直接的に対応します。
| 自社診断項目 | 対応する規程 |
|---|---|
| パスワードは推測されにくい「長く」「複雑な」パスワードを設定していますか | アカウント管理規程 第4条 |
| 重要情報に対する適切なアクセス制限を行っていますか | アカウント管理規程 第3条・第8条 |
| テレワークの情報セキュリティを確保していますか | リモートワーク規程 全体 |
| 退職者のアカウント等は削除または無効化していますか | アカウント管理規程 第7条 |
助成金との接続
規程整備は「モノの調達」ではないため、助成金の直接的な対象経費にはなりません。しかし、SECURITY ACTION二つ星を取得すれば、東京都のサイバーセキュリティ対策促進助成金(最大500万円)の申請資格を得ることができます。
| 項目 | 内容 |
|---|---|
| 助成率 | 対象経費の1/2 |
| 上限額 | 500万円 |
| 対象要件 | SECURITY ACTION 二つ星を宣言済みの都内中小企業 |
7. よくある質問(Q&A)
Q1. 従業員5名の小さな会社でも、規程は必要ですか?
A. はい、必要です。5名であっても「パスワードのルール」「退職者のアカウント処理」は明確にしておくべきです。むしろ少人数だからこそ、1人の不注意が全社に影響します。本記事のサンプルを簡略化して、A4用紙1枚程度のルールシートにまとめるだけでも十分な効果があります。
Q2. 規程を作ったら労基署への届出は必要ですか?
A. セキュリティ管理規程そのものは労働基準監督署への届出義務はありません。ただし、規程違反に対する懲戒処分を適用する場合は、就業規則の懲戒規定と整合させる必要があります。就業規則に「会社の規程・規則に違反した場合」という条項があれば、セキュリティ管理規程も懲戒の根拠となります。
Q3. パスワードの定期変更は必要ですか?
A. NIST(米国国立標準技術研究所)の最新ガイドライン(SP 800-63B)では、パスワードの定期変更は推奨されていません。定期変更を強制すると、従業員が覚えやすい弱いパスワードを使い回す傾向が高まるためです。代わりに、「十分な長さ(12文字以上)」「複雑さ」「多要素認証」「使い回し禁止」を重視するのが現代のベストプラクティスです。
Q4. BYOD(個人端末の業務利用)は許可すべきですか、禁止すべきですか?
A. 理想的には会社貸与端末のみの利用ですが、中小企業では予算の制約からBYODを認めざるを得ないケースも多いです。完全に禁止するよりも、本記事のリモートワーク規程第3条のように条件付きで許可するほうが現実的です。条件を明確にし、MDM(モバイルデバイス管理)の導入を合わせて検討してください。
Q5. 規程のテンプレートはIPAなどで公開されていますか?
A. はい、IPAの「中小企業の情報セキュリティ対策ガイドライン」の付録に、情報セキュリティ関連規程のサンプルが公開されています。本記事のサンプルと併せて参考にしてください。
Q6. 生成AI(ChatGPT等)の利用ルールも規程に含めるべきですか?
A. はい、含めることを強く推奨します。生成AIに機密情報や個人情報を入力すると、意図せず情報が外部に送信されるリスクがあります。「入力してはいけない情報の種類」「利用可能なAIサービスの限定」「有料プラン(データ学習オプトアウト可能)の利用推奨」などを規定しましょう。
Q7. 規程の作成を外部に委託できますか?
A. 可能です。情報セキュリティコンサルタントや中小企業診断士に依頼すれば、自社の状況に合わせた規程を作成してもらえます。ただし、規程の内容を社内に浸透させるのは自社の責任です。「作ってもらって終わり」にしないことが重要です。
まとめ:規程は「ツールと並ぶ対策の両輪」
セキュリティ管理規程は、UTMやEDRといったツール(モノ)と並ぶ、人の行動を守る対策の柱です。
本記事のポイントを整理します。
- セキュリティ管理規程は、人の行動をコントロールするルールブック
- 3階層(基本方針→管理規程→手順書)で体系化する
- 最低限の5つの規程(基本方針、アカウント管理、リモートワーク、インシデント対応、データ管理)を整備する
- 規程を「絵に描いた餅」にしないために、入社時説明・年次研修・定期見直しを実施する
- 規程整備はSECURITY ACTION二つ星取得の前提であり、助成金申請への布石になる
「何から始めればいいかわからない」なら、まずはご相談ください。
アクセルパートナーズでは、セキュリティ管理規程の作成支援から、SECURITY ACTION二つ星の取得、助成金を活用したセキュリティ環境の整備までワンストップで対応しています。
- ルール整備・SECURITY ACTION取得 → サイバーセキュリティ やり切りパック
- セキュリティ機器の導入(助成金活用) → 東京都サイバーセキュリティ対策促進助成金 申請サポート
初回相談(60分・Zoom)は無料です。「自社のセキュリティルールを整備したい」というところから始めましょう。
お問い合わせ:0120-659-057(平日 9:30~18:00)
編集:アクセルパートナーズ
出典・参考資料:
- IPA「中小企業の情報セキュリティ対策ガイドライン 第3.1版」
- NIST SP 800-63B「Digital Identity Guidelines: Authentication and Lifecycle Management」
- 総務省「テレワークセキュリティガイドライン 第5版」
- IPA「SECURITY ACTION」
アクセルパートナーズ 取締役・中小企業診断士
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
