そのデータ管理、大丈夫？ 電帳法改正で見直す、情報セキュリティ：22年1月に向けて（3/6 ページ）

[瓜生聖，ITmedia]

対策はルール・人・技術で

　一方、情報セキュリティ対策は大きくルール・人・技術の3つに分類される。

　しかし、情報セキュリティの対策は情報システム部門が製品やサービスを使って技術的に行うもの、と誤解している人は多い。実際にはルール・人・技術のうち最も低いレベルが全体のセキュリティレベルとなるため、技術だけでは情報セキュリティを高いレベルで維持することはできない。

　まず、ルール・人・技術とは何を指すのか、整理しよう。

ルール

　その行動が情報セキュリティの面で安全かどうか、各人が都度個別に判断すると基準がばらけたり、誤った判断を下してしまう危険性がある。かといって毎回専門家に確認することも非効率的だ。

　そこで、どのように行動すべきなのかをルールとして決めてしまう。そうすれば、従業員はルールを守ることを専念するだけで、判断を下すことなくセキュリティ対策を実施できるようになる。

人

　ルールを決めても、それが守られなければ絵に描いた餅にすぎない。特にセキュリティ対策は利便性とのトレードオフになることも多く、放っておけば守られなくなることも少なくない。それを防ぐためにはルールそのもの、さらにその趣旨について理解してもらうこと、ルールを順守することが自分たちのメリットになると自覚してもらうことが重要だ。

技術

　一般的な認識とは異なり、技術はルール、人で対応できない部分を補完するもの、という位置付けになっている。技術的対策は種々の驚異に対して「認証」「検知」「制御」「防御」などを自動的に実施する。

　技術的に禁止できず、ルールで禁止していることに関しては人頼みになってしまう。例えば真正性を維持するために「他人のIDを使ってなりすましてはいけない」というルールを作っても、それを守らせることができるのは従業員にとどまる。悪意ある組織外の人にそれを守らせることはできないため、そこを「組織外の人がなりすましできない技術」で補完するということになる。

情報セキュリティ対策はルール・人・技術のどれが欠けても成り立たない。出展：総務省「テレワークセキュリティガイドライン第4版」