セキュリティポリシーを導入する、リスク評価を行なうという作業は大切だと分かっていていても、実施はとても大変だ。単純にウィルスワクチンを入れる、ファイアウオールを置くといった技術的な対策のさらに上流の作業として、運用・管理までを視野に入れた作業がともなってくるからだ。

   本書は企業にセキュリティポリシーを導入するガイドとして書かれたものだ。セキュリティの規格であるBS7799、ISMS、ISO15408を視野に入れたつくりになっている。初心者向けの内容であるため、セキュリティとは何であるか、どのように対策を施すものであるかをまず解説し、続いて個人情報保護のガイドラインと企業内システムの公的ガイドライン、情報セキュリティマネジメントシステム、リスク評価とセキュリティ対策、ISO15408ITセキュリティ評価基準について解説している。

   セキュリティに関する公的なガイドラインを解説することに重点が置かれており、ガイドラインの種類、大まかな内容、政府・団体の動向などセキュリティ確保に必要な情報を得ることができるだろう。セキュリティの確保がどのような作業を必要とするかについても説明しているので、まったくの初心者でも理解できる内容だ。実際の作業にはより詳細な情報が必要となるが、各章には情報入手先が掲載されているのでそれらを参考にすることもできる。

   企業のセキュリティ体制の不備はその企業に、あるいは周囲にも大きな損害をもたらしかねない重大な問題である。セキュリティを確保するということがどのようなことなのか、その根本から理解したい方におすすめしたい1冊である。（斎藤牧人）