「ルールを守れ」や「危ない、怖い、使うな」は逆効果～人的な対策と物理的な対策のポイント

「人的な対策」で最も重要なこと--役割と責任、権限の明確化

　人的な対策で最も重要なことは、役割と責任、権限を明確にすることです。これらが違えば、情報セキュリティ対策として実施すべきことが違ってきます。一般の従業員や職員、経営陣、情報システム担当者では、もちろん組織の中での役割や責任が異なり、情報セキュリティ対策でもやるべきことが違うからです。　

　そして、それぞれの役割と責任、権限を認知しておくことが必要になります。これらが認知されていなくては、本人に「当事者意識」が生まれません。自分が当事者でない対策を懸命に実施する人は、通常いないでしょう。自分がその役割でやるべきことが明確になってこそ、責任が生まれるのです。

ルール作りの重要なポイント

　やるべきことを明確にするためにも、組織における情報セキュリティのルール（基準や手順など）が必要になります。

　人的対策を実施する上では、ルールが必要であり、それを守ることが必要です。しかし、ルールで規制する対象は人間そのものでなく、あくまでその「行い」であることに注意をしなければなりません。

　 情報セキュリティの事故（インシデント）が発生すると、悪者探しをしがちです。しかし、人間そのものや道具を悪者扱いし、単に罰則を科したり、利用を禁止したりしても、情報セキュリティ対策の実効性はあがりません。

　規制すべきなのは、インシデントが起こった原因である人間の行いであり、道具（PCやUSBメモリ、書類など）の扱い方なのです。これらが、インシデントが発生した本当の原因であり、これらを明らかにして対策をしなければならないからです。どのような行いが良く、どのような行いが悪いのか、どのような道具の扱い方が良く、どのような扱い方が悪いのか、それを人間にルールとして示すことが重要なのです。

　また、ルールはその組織が意図している情報セキュリティ対策の内容や手順等を適切に実施できるようにしなければなりません。あまりに抽象的な内容では、従業員や職員が具体的な行動や判断ができなかったり、人によって違ったりしてしまうからです。

　せっかく、ルールを作っても「守りたくても、守れない」ということが起こりがちです。そのために、情報セキュリティ教育が行われますが、適切に行われなければ、その効果はなくルールが守れるようにはならないのです。「ルールを守れ」というような単なる精神論的な教育や、「危ない、怖い、使うな」というような恐怖をあおるような教育では、具体的な行動には移れず、逆効果になることもあります。

　他にも、教育をしても対策をするためのITスキルが足りなかったり、ルールがわかりにくいのでどうしたらいいかわからなかったりしては、守りたくてもルールは守れません。

　そのためには、以下のような項目を踏まえたルール作りが必要になります。

　また、その対策の目的や効果がわからなかったり、業務の実態に合っておらず、やればやるほど著しく業務効率が落ちてしまったりするようなルールでは、積極的に実施する気にはなれないでしょう。そのためには、動機付けが必要になります。

表：動機付け

　動機付けには、達成感も必要です。そのために、ルールの目的や効果、やればどんなメリットがあり、やらなければどんなデメリットがあるのかを明確にし、ルールが守れたかどうかをチェックできることが重要です。

　この表のような動機付けを行い、従業員や職員が積極的に情報セキュリティ対策を実施できるように教育しましょう。