情報セキュリティ目的（目標）で目指す成果を達成する

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2026.5.13

〇情報セキュリティ目的（目標）は「どんな状態を実現したいか」を具体的に示すもの

情報セキュリティの国際規格 ISO/IEC27001：2022では、規模や業種を問わず、事業者様が情報セキュリティ活動を通じて、

「何を守りたいのか」

「どの水準を目指すのか」

を明確にすることが重視され、取り組む際の重要なポイントとなっています。

それらの取り組みを進める際に中核的な役割を果たすのが「情報セキュリティ目的（目標）」といえます。

情報セキュリティ目的（目標）は、「情報セキュリティ活動によって、どのような状態を実現したいか」を具体的に示したものです。

情報セキュリティ目的（目標）のわかりやすい例では、

「標的型メール訓練の実施率100％」

「重要データのバックアップ取得漏れ0件」

「インシデント対応訓練を年2回実施」

などが挙げられます。

〇到達点や結論があいまいでは、取り組みの効果も上がりにくい

もし、情報セキュリティ目的（目標）を定めずに活動すると、「とりあえず活動している」状態になりやすく、また、取り組み結果の効果の確認も難しくなります。

具体的な情報セキュリティ目的（目標）が組織として明確に定められていれば、組織全体で同じ方向を向きやすくなり、活動の成果も測定が容易になります。

〇情報セキュリティ目的（目標）は組織の「情報セキュリティ方針」達成のためのツール

また、「情報セキュリティ方針」との関係も重要です。

情報セキュリティ方針は、組織としての情報セキュリティ対策の基本的な考え方や約束事を示すものです。例えば、

「顧客情報を適切に保護する」

「法令や契約を順守する」

といった内容です。

そして、情報セキュリティ目的（目標）は、情報セキュリティ方針を具体的な行動や数値に落とし込んだものと言えます。

情報セキュリティ方針が「組織の方向性」を示すものなら、情報セキュリティ目的（目標）はより具体的な「実際に進むための道しるべ」となるものです。

方針だけでは抽象的になりがちですが、より具体的・端的な目的（目標）を設定することで、日々の活動につなげやすくなります。

〇情報セキュリティ目的を設定する際のポイント

では、どのように情報セキュリティ目的（目標）を設定すればよいでしょうか。

三つのポイントをご紹介します。

＊一つ目は、「具体的であること」です。

「セキュリティ意識を高める」だけではなく、「全従業員向け教育を年1回以上実施する」のように、実施内容や回数を明確にします。

＊二つ目は、「測定できること」です。

達成状況を確認できなければ改善につながりません。数値や割合、実施回数などを用いると効果的です。

＊三つ目は、「組織の実情に合っていること」です。

大企業向けの高度な目標を、そのまま中小企業に当てはめても現実的ではありません。

皆様の組織の業務内容やリスクに応じて、無理のない目的（目標）を定めることが大切です。

〇まとめ

情報セキュリティ目的（目標）は、単なる「スローガン」や「飾り」ではありません。

日々取り組んで、達成することで情報セキュリティの水準を少しずつでも、高めていくためのツールであり仕組みです。

また、目的（目標）の設定がうまくできたとしても、実効性のある運用を行うことは、最初は困難を伴うこともあります。

定期的に達成状況を確認し、うまくいかなかった点は改善を加えていくことで、組織の情報セキュリティ活動の水準を少しずつ高めていくことができます。

皆様の取り組む情報セキュリティ対策が「何を守りたいのか」を明確にすること。

そのために具体的な情報セキュリティ目的（目標）を定めること。

それが、実効性のある情報セキュリティ活動の第一歩となります。

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、ＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

詳しくはこちらよりお入りください。