セキュリティ文化を醸成するための具体策セキュリティリスクの変化に強い企業風土を作る(2/2 ページ)

» 2010年01月27日 07時00分 公開
[小川真毅,ベライゾンビジネス]
前のページへ 1|2       

セキュリティ責任者は簡潔なルールを

 2つ目はセキュリティ責任者の視点として、従業員が適切なセキュリティを自然に意識し、行動に反映できるようにするための土台となる基礎的ルールを簡潔に示し、従業員をサポートすることです。

 ルール作りのポイントは2つあり、業務効率など日常的活動の利便性を極力妨げず無理なく「守れるルール」にすることと、人によって解釈や判断が「ブレない分かりやすいルール」にすることです。この2つは簡単なようで実は意外と難しく、実際にこのポイントを押さえたルールを作ろうとするとかなり頭を悩ませることになるとは思います。しかし、逆にこの2つのポイントから外れたルールを策定してしまうと、守ってもらえないルールになるばかりか、従業員の間に「セキュリティなんて面倒なだけ」という印象が広まって、セキュリティ文化の醸成とは全く逆行する流れを作ってしまいかねません。

 守られるルールについて、パスワードポリシーを例に考えてみましょう。

 「パスワードは毎月変更しなければならず、アルファベットは大文字小文字混在、数字や記号も2文字以上使用して全部で8文字以上、さらに辞書に載っている言葉や連続した3つ以上のアルファベット・数字(abc、aaa、123、777など)を含めることは禁止」などと厳しくすればパスワードがクラックされにくくなるという意味でセキュリティは強化されるでしょう。しかし、そんな複雑なパスワードを従業員が毎月覚えなおすことは難しく、忘れてしまって管理者に問い合わせたり、どこかに書き留めておいたりしまったりしてしまうことで業務効率もセキュリティレベルも下がります。こうした逆効果やセキュリティに対する反発意識を招かないためにも、従業員に無理なく守ってもらえるレベルのルールづくりが最も効果的と言えます。

 もう1つのブレないルールについても、パスワードポリシーを例に挙げてみます。前述のような細かく厳しいルールではなく、従業員に守ってもらえることを意識して、「パスワードは容易に推測されにくい8文字以上のパスワードとすること」というポリシーにした場合はどうでしょうか。もし本当にこのポリシーのみでシステム的にもこれ以上の制御が欠けていないとすれば、恐らくクラック可能なパスワードのオンパレードになってしまうでしょう。これは、「容易に推測されにくい」という表現が人によって大きく受け取り方が異なるため、全く規則性のない英数字記号を複雑に混在させたパスワードを設定する人もいるかもしれませんが「英数字が混在していればいいだろう」と安易に考える人も多く出てくるからです。

 特にルールを策定するセキュリティ責任者や担当チームの場合、当然ながら自分たちはセキュリティ意識が高いので、容易に推測されにくいという表現でも高いレベルのセキュリティが維持されるだろうと考えるかもしれません。しかし、実際にこのルールを読む人の多くは普段からセキュリティに深いなじみがあるわけではない一般従業員や新入社員などであることを考えると、人によって解釈が分かれてしまうような表現を避けるべきであることは明らかです。判断がブレない明快簡潔なルールを策定するよう、注意を払うべきと言えます。

従業員間の緊密なコミュニケーション

 3つ目は従業員の視点として、従業員一人ひとりが自身の意識を高めるだけでなく、周囲にも気を配るとともに遠慮なく意見交換し合うことで、セキュリティに関するお互いの考え方を共有しあい、近づけていくよう意識することです。

 先に述べたように、セキュリティ文化とは組織に属する多くの人々のセキュリティに関する考え方や行動指針についての「共通認識」であると言えます。共通認識と言うからにはお互いが同じ認識を持っていることを常に確認し合えることが必要です。いくらトップが明確なメッセージを打ち出しても、セキュリティ部門が分かりやすいルールを策定しても、やはり従業員一人ひとりの経験や立場、育ってきた環境が異なれば受け止め方も変わり、行動への反映の仕方にもズレは生じるものです。

 それを一つひとつ経営層やセキュリティ担当チームが発見して指導することは現実的に不可能であるため、現場が自発的に悪いところを修正し、あるべき姿に向かって成長していく推進力を持つ必要があります。そのため、セキュリティに限った話ではありませんが、現場の従業員一人ひとりが自分よがりにならず、お互いを認め合いながらもいい意味で牽制し合える緊密なコミュニケーション環境が必要であると言えます。


 セキュリティ対策を高めていく要素は、「People」「Process」「Technology」 の3つに分類できます。企業や組織にとって必要なセキュリティ対策やそのあり方というのは、その組織のビジネス特性や置かれている環境によってさまざまですが、本連載で紹介したPeopleに着目するセキュリティ教育や、そのアプローチ方法を参考に最適なセキュリティ対策を模索し、セキュリティ文化を醸成していくための一助としていただければ幸いです。

筆者プロフィール

ベライゾンビジネス シニアセキュリティコンサルタント。9年間以上におよぶITセキュリティ分野での経験と専門知識を生かし、プロフェッショナルサービスを提供する。「ISO 27001」「CoBIT」「SOX/J-SOX」「PCI DSS」などのセキュリティ標準・ガイドラインに関する深い専門知識を持ち、セキュリティイベントではセミナー講演やワークショップを開催なども担当している。保有資格はISC2認定CISSPやPCI SSC認定QSA、経済産業省認定テクニカルエンジニア (情報セキュリティ)、情報セキュリティアドミニストレータ、テクニカルエンジニア(ネットワーク)など。


企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ