セキュリティの教育効果を高めるポイントを探る:セキュリティリスクの変化に強い企業文化(2/2 ページ)
効果を把握するのが難しいといわれる情報セキュリティの教育。今回は実施効果をより良いものにしていくために必要な方法やポイントを紹介します。
ビジネスリスクと従業員の関連付け
ここまでで情報セキュリティに関する自組織の意識レベルの診断と、それに応じたセキュリティ教育方針について整合性のある立案ができたと思いがちです。しかし10〜20人の企業ならまだしも、数百人、数千人の企業規模となると果たして自組織のセキュリティ意識レベルを十把一絡げの診断にしてしまって良いのかという疑問が出てきます。
最初に組織ごとに環境が異なるのだから、最適なセキュリティ教育のあり方もおのずと異なると提起しましたが、これを1つの組織内に当てはめても同じことが言えます。つまり、1つの組織内であっても、取り扱っている情報の種類も違えばその量も違う、情報を共有している人員の数や構成も違うのであれば、各部門やグループ単位でセキュリティ教育のあり方は変わってくるべきだということです。
従って、セキュリティ意識レベルの診断には何らかの基準によって適切なグループ分けをし、その上でグループごとに診断すべきだということになります。そのグループ分けはどのようにすべきでしょうか。情報セキュリティが保護すべきもの――まさに情報資産――を考えれば、各部門や各従業員が取り扱っている情報資産が危険になることで、自組織のビジネスにどれだけの被害を発生するかという視点が最も重要になり、適切に考えなくてはなりません。情報セキュリティ教育についても、技術的なセキュリティ対策やプロセス面での整備と同様に、ビジネスリスクの大きさに応じてリソースを費やしていくことが効率的なのです。
このような考え方に基いて取り扱っている情報資産の重要性と各部門や従業員との関係性を明確にし、リスクを洗い出していく作業を「Employee Risk Assessment」と呼びます。そのステップを簡単に紹介すると次のようになります。
- 情報資産の洗い出し
- ビジネス上の重要性を基準とした情報資産の分類
- 情報資産の分類レベルごとの取り扱い部門と従業員の洗い出し
- 重要度の高い情報資産を取り扱う部門や従業員の情報セキュリティ意識レベル診断
なお、これらのステップのうち1〜2は程度の差はあれ、多くの企業で既に行われていると推察されますが、ここの作業が十分でなかったり、数年前に実施してからアップデートされていなかったりすると、その後の判断が全く意味をなさなくなります。現状の自組織のビジネス環境に即した情報資産の洗い出しと分類が適切に行われているかどうかについては慎重な判断が必要です。
組織全体のセキュリティレベルを一度に大幅に向上させることができれば、それに越したことはありません。しかし、人の意識というものは一朝一夕で変わるものではなく、それぞれが置かれている環境によっても変化の度合いは異なります。情報セキュリティ教育を実施する際には、現状の情報セキュリティに対する従業員の意識レベルに応じた方針を策定した上で実施すべきでしょう。さらに、その意識レベルをどこまで高める必要があるか、またどれだけの厳格さを従業員に求めるかについては、取り扱っている情報資産のビジネス上の重要性に応じて変えていくことで、限られたリソースの中で効率的にセキュリティ教育の効果を高められるはずです。
筆者プロフィール
ベライゾンビジネス シニアセキュリティコンサルタント。9年間以上におよぶITセキュリティ分野での経験と専門知識を生かし、プロフェッショナルサービスを提供する。「ISO 27001」「CoBIT」「SOX/J-SOX」「PCI DSS」などのセキュリティ標準・ガイドラインに関する深い専門知識を持ち、セキュリティイベントではセミナー講演やワークショップを開催なども担当している。保有資格はISC2認定CISSPやPCI SSC認定QSA、経済産業省認定テクニカルエンジニア (情報セキュリティ)、情報セキュリティアドミニストレータ、テクニカルエンジニア(ネットワーク)など。
関連記事
- 情報セキュリティ教育をおろそかにする弊害
さまざまな情報セキュリティ対策のアプローチの1つとなるセキュリティ教育。今回はその重要性と課題を洗い出し、課題を解決するための方策を考察していきます。 - 事件・事故対応に生かす実践的なコンプライアンスとは?
情報漏えいのようなセキュリティ事故・事件での対応はまさにコンプライアンスの成果が問われる瞬間です。未然に防ぐことに加え、発生後に迅速かつ確実な対応を行うことが損害を最小限にして企業の存続を確かなものにします。今回は対応における実践的なコンプライアンスを考えてみましょう。 - コンプライアンスの理想と現実をつなぐ手段
コンプライアンスに際して必ず付きまとう問題が代替コントロールです。これは企業の情報セキュリティ対策を構築する上でも例外処置として現れてきますが、これ非準拠として切り捨てるのではなく、全体バランスの中で運用していくことが実践的な方法を探ります。 - 「コンプライアンス」という言葉に潜む問題点
企業の情報セキュリティ対策を構築する上で、常につきまとう言葉が「コンプライアンス」です。対策の指針を決定する重要な要素ですが、理解を誤れば適切な対策を講じるのは難しくなります。今回はコンプライアンスの言葉に潜む問題点を考察しましょう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.