インターネット編 ソーシャルサービスの安全な使い方、ルールの作り方：今すぐ始めたい中小企業のセキュリティ対策チェック（2/2 ページ）

[新倉茂彦，ITmedia]

インターネット利用ルールの作り方

　「基本を忠実に守る」――聞けば当たり前のようですが、実際にはなかなかできないものです。よくある事例は、一方的に「ダメダメ」と禁止を押し付けているケースです。

　例えば子供相手に「ダメダメ」と禁止をしても、なぜダメなのかを教える責任が親にはあります。「火遊びはいけない」と言っても、なぜいけないのかを教えなければ、子供が本当の意味を知ることはありません。真の意味を理解せず、「いけないって言われたから」というだけでは、応用もできません。

　企業においても、「Winnyは禁止」「USBメモリの使用や持ち出しは禁止」と言っても、なぜダメなのかを従業員が理解しない限り、組織全体の底上げにはつながっていきません。原因と結果の明確なイメージを持ってもらう必要があるのです。それを行う（原因）と、どのようなこと（結果）になっていくのか。これを最も基本となる「5W1H」を活用して理解してもらいます。

「What」……なにを、対象、操作の対象

「When」……いつ、時間、タイミング

「Where」……どこで、場所、舞台

「Who」……だれが、人物、行動主体

「Why」……なぜ、なんのために、目的、理由

「How」……どのように、いかにして、手段、実現方法

　「5W1H」に当てはめていくことで、「何を何からどのように守るのか」「それにはどのようなルールが必要なのか」を自ずと考えなければなりません。ルールの作成には可能な限り各部門が参加して、実際の業務に沿ったものを作りたいものです。

　管理者が一方的なルールを作っても、実務に合わないことが多くあります。業務を遂行するためにルールを破っている場合も結構あります。厚みのある規定集を作ってもだれも読みませんし、実務に合わないルールを作っても円滑で効率的な仕事の妨げになってしまいます。真面目に業務をしていても、ルールが実態に即していないためにかえって効率が低下したり、事故が起きる大きな原因につながったりすることもあります。

　もちろん最低限のセキュリティは必要ですが、誰しもセキュリティのために仕事をしているわけではありません。「セキュリティのためのセキュリティ」という、だれの何のためのルールなのかが分からくなってしまう本末転倒な事例があまりにも多いのです。

　関係者の立場によって譲れない部分をどのようにすれば、現実的で安全な方法にしていけるかを考えてみることは、業務全体を理解する機会にもなりますし、何より最も有効なセキュリティの啓発につながります。ぜひ実践していただきたいと思います。

新倉茂彦（にいくら しげひこ）

有限会社ティーシーニック代表取締役、セキュリティプロデューサー、MBA（経営情報学修士）

コンピュータセキュリティの論理的、物理的分野で経験を積み、ITリスクマネジメントに5年間従事。現在は「狙う側の視点」から企業防衛をトータルサポートする情報漏洩対策・情報セキュリティのコンサルティングを提供。オルタナティブ・ブログ「新倉茂彦の情報セキュリティAtoZ」も執筆中。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら