セキュリティ文化を醸成するための具体策:セキュリティリスクの変化に強い企業風土を作る(2/2 ページ)
ポリシーやルールによって情報セキュリティを強化しようとしても、実際には形骸化してしまいがちです。今回はセキュリティを実践する人への教育を通じて、セキュリティに強い企業文化を醸成するための具体策を紹介しましょう。
セキュリティ責任者は簡潔なルールを
2つ目はセキュリティ責任者の視点として、従業員が適切なセキュリティを自然に意識し、行動に反映できるようにするための土台となる基礎的ルールを簡潔に示し、従業員をサポートすることです。
ルール作りのポイントは2つあり、業務効率など日常的活動の利便性を極力妨げず無理なく「守れるルール」にすることと、人によって解釈や判断が「ブレない分かりやすいルール」にすることです。この2つは簡単なようで実は意外と難しく、実際にこのポイントを押さえたルールを作ろうとするとかなり頭を悩ませることになるとは思います。しかし、逆にこの2つのポイントから外れたルールを策定してしまうと、守ってもらえないルールになるばかりか、従業員の間に「セキュリティなんて面倒なだけ」という印象が広まって、セキュリティ文化の醸成とは全く逆行する流れを作ってしまいかねません。
守られるルールについて、パスワードポリシーを例に考えてみましょう。
「パスワードは毎月変更しなければならず、アルファベットは大文字小文字混在、数字や記号も2文字以上使用して全部で8文字以上、さらに辞書に載っている言葉や連続した3つ以上のアルファベット・数字(abc、aaa、123、777など)を含めることは禁止」などと厳しくすればパスワードがクラックされにくくなるという意味でセキュリティは強化されるでしょう。しかし、そんな複雑なパスワードを従業員が毎月覚えなおすことは難しく、忘れてしまって管理者に問い合わせたり、どこかに書き留めておいたりしまったりしてしまうことで業務効率もセキュリティレベルも下がります。こうした逆効果やセキュリティに対する反発意識を招かないためにも、従業員に無理なく守ってもらえるレベルのルールづくりが最も効果的と言えます。
もう1つのブレないルールについても、パスワードポリシーを例に挙げてみます。前述のような細かく厳しいルールではなく、従業員に守ってもらえることを意識して、「パスワードは容易に推測されにくい8文字以上のパスワードとすること」というポリシーにした場合はどうでしょうか。もし本当にこのポリシーのみでシステム的にもこれ以上の制御が欠けていないとすれば、恐らくクラック可能なパスワードのオンパレードになってしまうでしょう。これは、「容易に推測されにくい」という表現が人によって大きく受け取り方が異なるため、全く規則性のない英数字記号を複雑に混在させたパスワードを設定する人もいるかもしれませんが「英数字が混在していればいいだろう」と安易に考える人も多く出てくるからです。
特にルールを策定するセキュリティ責任者や担当チームの場合、当然ながら自分たちはセキュリティ意識が高いので、容易に推測されにくいという表現でも高いレベルのセキュリティが維持されるだろうと考えるかもしれません。しかし、実際にこのルールを読む人の多くは普段からセキュリティに深いなじみがあるわけではない一般従業員や新入社員などであることを考えると、人によって解釈が分かれてしまうような表現を避けるべきであることは明らかです。判断がブレない明快簡潔なルールを策定するよう、注意を払うべきと言えます。
従業員間の緊密なコミュニケーション
3つ目は従業員の視点として、従業員一人ひとりが自身の意識を高めるだけでなく、周囲にも気を配るとともに遠慮なく意見交換し合うことで、セキュリティに関するお互いの考え方を共有しあい、近づけていくよう意識することです。
先に述べたように、セキュリティ文化とは組織に属する多くの人々のセキュリティに関する考え方や行動指針についての「共通認識」であると言えます。共通認識と言うからにはお互いが同じ認識を持っていることを常に確認し合えることが必要です。いくらトップが明確なメッセージを打ち出しても、セキュリティ部門が分かりやすいルールを策定しても、やはり従業員一人ひとりの経験や立場、育ってきた環境が異なれば受け止め方も変わり、行動への反映の仕方にもズレは生じるものです。
それを一つひとつ経営層やセキュリティ担当チームが発見して指導することは現実的に不可能であるため、現場が自発的に悪いところを修正し、あるべき姿に向かって成長していく推進力を持つ必要があります。そのため、セキュリティに限った話ではありませんが、現場の従業員一人ひとりが自分よがりにならず、お互いを認め合いながらもいい意味で牽制し合える緊密なコミュニケーション環境が必要であると言えます。
セキュリティ対策を高めていく要素は、「People」「Process」「Technology」 の3つに分類できます。企業や組織にとって必要なセキュリティ対策やそのあり方というのは、その組織のビジネス特性や置かれている環境によってさまざまですが、本連載で紹介したPeopleに着目するセキュリティ教育や、そのアプローチ方法を参考に最適なセキュリティ対策を模索し、セキュリティ文化を醸成していくための一助としていただければ幸いです。
筆者プロフィール
ベライゾンビジネス シニアセキュリティコンサルタント。9年間以上におよぶITセキュリティ分野での経験と専門知識を生かし、プロフェッショナルサービスを提供する。「ISO 27001」「CoBIT」「SOX/J-SOX」「PCI DSS」などのセキュリティ標準・ガイドラインに関する深い専門知識を持ち、セキュリティイベントではセミナー講演やワークショップを開催なども担当している。保有資格はISC2認定CISSPやPCI SSC認定QSA、経済産業省認定テクニカルエンジニア (情報セキュリティ)、情報セキュリティアドミニストレータ、テクニカルエンジニア(ネットワーク)など。
関連記事
- セキュリティの教育効果を高めるポイントを探る
効果を把握するのが難しいといわれる情報セキュリティの教育。今回は実施効果をより良いものにしていくために必要な方法やポイントを紹介します。 - 情報セキュリティ教育をおろそかにする弊害
さまざまな情報セキュリティ対策のアプローチの1つとなるセキュリティ教育。今回はその重要性と課題を洗い出し、課題を解決するための方策を考察していきます。 - 事件・事故対応に生かす実践的なコンプライアンスとは?
情報漏えいのようなセキュリティ事故・事件での対応はまさにコンプライアンスの成果が問われる瞬間です。未然に防ぐことに加え、発生後に迅速かつ確実な対応を行うことが損害を最小限にして企業の存続を確かなものにします。今回は対応における実践的なコンプライアンスを考えてみましょう。 - コンプライアンスの理想と現実をつなぐ手段
コンプライアンスに際して必ず付きまとう問題が代替コントロールです。これは企業の情報セキュリティ対策を構築する上でも例外処置として現れてきますが、これ非準拠として切り捨てるのではなく、全体バランスの中で運用していくことが実践的な方法を探ります。 - 「コンプライアンス」という言葉に潜む問題点
企業の情報セキュリティ対策を構築する上で、常につきまとう言葉が「コンプライアンス」です。対策の指針を決定する重要な要素ですが、理解を誤れば適切な対策を講じるのは難しくなります。今回はコンプライアンスの言葉に潜む問題点を考察しましょう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.