セキュリティの教育効果を高めるポイントを探る：セキュリティリスクの変化に強い企業文化（2/2 ページ）

[小川真毅，ベライゾンビジネス]

ビジネスリスクと従業員の関連付け

　ここまでで情報セキュリティに関する自組織の意識レベルの診断と、それに応じたセキュリティ教育方針について整合性のある立案ができたと思いがちです。しかし10〜20人の企業ならまだしも、数百人、数千人の企業規模となると果たして自組織のセキュリティ意識レベルを十把一絡げの診断にしてしまって良いのかという疑問が出てきます。

　最初に組織ごとに環境が異なるのだから、最適なセキュリティ教育のあり方もおのずと異なると提起しましたが、これを1つの組織内に当てはめても同じことが言えます。つまり、1つの組織内であっても、取り扱っている情報の種類も違えばその量も違う、情報を共有している人員の数や構成も違うのであれば、各部門やグループ単位でセキュリティ教育のあり方は変わってくるべきだということです。

　従って、セキュリティ意識レベルの診断には何らかの基準によって適切なグループ分けをし、その上でグループごとに診断すべきだということになります。そのグループ分けはどのようにすべきでしょうか。情報セキュリティが保護すべきもの――まさに情報資産――を考えれば、各部門や各従業員が取り扱っている情報資産が危険になることで、自組織のビジネスにどれだけの被害を発生するかという視点が最も重要になり、適切に考えなくてはなりません。情報セキュリティ教育についても、技術的なセキュリティ対策やプロセス面での整備と同様に、ビジネスリスクの大きさに応じてリソースを費やしていくことが効率的なのです。

　このような考え方に基いて取り扱っている情報資産の重要性と各部門や従業員との関係性を明確にし、リスクを洗い出していく作業を「Employee Risk Assessment」と呼びます。そのステップを簡単に紹介すると次のようになります。

1. 情報資産の洗い出し
2. ビジネス上の重要性を基準とした情報資産の分類
3. 情報資産の分類レベルごとの取り扱い部門と従業員の洗い出し
4. 重要度の高い情報資産を取り扱う部門や従業員の情報セキュリティ意識レベル診断

　なお、これらのステップのうち1〜2は程度の差はあれ、多くの企業で既に行われていると推察されますが、ここの作業が十分でなかったり、数年前に実施してからアップデートされていなかったりすると、その後の判断が全く意味をなさなくなります。現状の自組織のビジネス環境に即した情報資産の洗い出しと分類が適切に行われているかどうかについては慎重な判断が必要です。

---

　組織全体のセキュリティレベルを一度に大幅に向上させることができれば、それに越したことはありません。しかし、人の意識というものは一朝一夕で変わるものではなく、それぞれが置かれている環境によっても変化の度合いは異なります。情報セキュリティ教育を実施する際には、現状の情報セキュリティに対する従業員の意識レベルに応じた方針を策定した上で実施すべきでしょう。さらに、その意識レベルをどこまで高める必要があるか、またどれだけの厳格さを従業員に求めるかについては、取り扱っている情報資産のビジネス上の重要性に応じて変えていくことで、限られたリソースの中で効率的にセキュリティ教育の効果を高められるはずです。

筆者プロフィール

ベライゾンビジネス シニアセキュリティコンサルタント。9年間以上におよぶITセキュリティ分野での経験と専門知識を生かし、プロフェッショナルサービスを提供する。「ISO 27001」「CoBIT」「SOX/J-SOX」「PCI DSS」などのセキュリティ標準・ガイドラインに関する深い専門知識を持ち、セキュリティイベントではセミナー講演やワークショップを開催なども担当している。保有資格はISC2認定CISSPやPCI SSC認定QSA、経済産業省認定テクニカルエンジニア (情報セキュリティ)、情報セキュリティアドミニストレータ、テクニカルエンジニア（ネットワーク）など。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら