現場が抜け道を探さないポリシーの作り方:特集:セキュアなドキュメント流通を目指して(2)(2/2 ページ)
リスク対応は弱点をつぶすところから
ガイドラインは、セキュリティポリシーをより具体的にしたもので、実際の業務のシチュエーションに合わせてどのような対策があるかを示す。
例えば、「PC利用ガイドライン」や「サーバ管理ガイドライン」「外部発注契約ガイドライン」といったものが考えられる。部署によって特殊な業務がある場合には、その部署専門のガイドラインや手順書もあり得る。
ガイドライン作成時には、リスクに見合った対応を行うべきだ。前回、リスクは(1)リスクを特定する、(2)発生頻度を分析する、(3)損害額を算定する、という3段階で行うべきだと説明した。
その結果として、リスクは「発生確率×損害額=リスクの大きさ」という式で算出できる。
例えば、外部へWebサーバを公開している企業であれば、「サーバが攻撃される」「設定ミスで、サーバから個人情報などが漏えいする」「災害等でサーバが停止する」「間違ったデータやコンテンツを公開してしまう」などなど、さまざまなリスク因子が存在する。そのリスクに対して、「頻度」や「損失額」を評価・査定する手順となる。
重要なのは、まずリスク分析でリスクを洗い出して分析した後、“最も弱かった部分”を補完していくことだ。
なぜなら、セキュリティの場合、最も弱い部分のセキュリティレベルがその企業全体のセキュリティレベルになるからだ。99%の部分が最高のセキュリティレベルであったとしても、残り1%の部分が最低レベルであったら、その企業のセキュリティレベルは最低レベルになる。つまり、強い部分をさらに伸ばすよりも、弱い部分を底上げすることが重要だ。
上記の例の場合であれば、「サーバ管理ガイドライン」でサーバの外部攻撃やリスクに対して、より予防的な対応を重視したガイドラインを作成して、サーバの管理強化を図るべきだ。
続いて、「手順書」はガイドラインのさらに詳細な手順や方法を示したものだ。「サーバ運用手順書」「顧客契約手続き方法」「PC持ち出し手順書」など、かなり実業務に即した作業に対して、実際の作業手順を示すためのものとなる。
例えば、「PC持ち出し手順書」であれば、
- 持ち出し専用PCに必要なデータだけ移す
- データを暗号化する
- 上司に稟議を通す
- 持っていく場所や日時等を連絡
- 帰社後は速やかにデータを削除する
などといった具合だ。
“抜け道”を探させないために、現場の声を聞くべき
このように、企業のセキュリティポリシー策定では、
- セキュリティポリシー
- ガイドライン
- 手順書
の順で作成する必要があり、ガイドラインと手順書では、リスク分析の結果を踏まえて、優先順位の高いものから順次作成していくことが重要だ。
その際に重要なのが、「企業の現状に見合った対策を行う」という点だ。ポリシーは方針なので現場に直接大きな影響を与えるものではないが、「ガイドライン」や「手順書」で非現実的なものを打ち出すと、問題が発生する可能性がある。
先述の調査では、セキュリティを担保するためには、ある程度の業務効率の低下はやむを得ないが、「ユーザーが許容できる業務効率低下は10%まで」という結果だった。それを無視して強行した場合、現場が自分のビジネスを遂行するために反発して抜け道を探し出し、その施策そのものが無意味になってしまう可能性が高い。
そのような結果にならないためにも、ユーザーに事前調査を行ったり、負担に思わせないような自動化の仕組みを入れるような取り組みが重要だ。
また、留意するべき点としてコストやリソースの問題もある。前述したように、情報漏えい対策では手当たり次第にすべてをやろうとしがちだ。また、いくら自社のリスクに見合った完ぺきなセキュリティポリシーを作ったとしても、それを実行に移すコストやリソースがなければ、「絵に描いた餅」になってしまう。
ツールを導入して業務効率の向上を
今回はリスク分析の結果を踏まえたポリシー策定やガイドライン、手順書の作り方を紹介した。
セキュリティポリシーを策定し、ガイドラインや手順書を作っていく段階で、費用対効果を考えた場合、セキュリティ対策ツールを導入することが、より効率化を招く場合もあるだろう。
次回からは、情報漏えい対策やセキュリティ対策を手助けする各種セキュリティツールについて、ベンダ各社に話を聞いていく。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Windows 11の永続ライセンスが消えて“毎月課金”になる予感
- 「子会社系SIer」で深刻化する“忙し過ぎ問題” 最も不足している意外なIT人材とは?
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 富士通とNECの最新受注状況から探る 「2024年度国内IT需要の行方」
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 「アダルトビデオが無料です」――IE標的のトロイの木馬に要注意
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- プロンプト作成は「ヒトに残された」仕事か? それともただの「時間の浪費」なのか
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
ITmediaはアイティメディア株式会社の登録商標です。