SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

図解!基礎から学び直す情報セキュリティ入門

「ルールを守れ」や「危ない、怖い、使うな」は逆効果~人的な対策と物理的な対策のポイント

■第9回

 前回は、情報セキュリティ対策のうち、技術的な対策のポイントについて説明いたしました。情報セキュリティ対策は、近年の組織におけるIT依存度の高まりなどから、技術的な対策が重要になってきています。しかし、技術的な対策だけでなく、人的な対策と物理的な対策を組み合わせることが、情報セキュリティ対策の効果を高めるうえで重要になります。そこで今回は、情報セキュリティ対策のうち、人的な対策と物理的な対策のポイントについて解説いたします。

「人的な対策」で最も重要なこと--役割と責任、権限の明確化

 人的な対策で最も重要なことは、役割と責任、権限を明確にすることです。これらが違えば、情報セキュリティ対策として実施すべきことが違ってきます。一般の従業員や職員、経営陣、情報システム担当者では、もちろん組織の中での役割や責任が異なり、情報セキュリティ対策でもやるべきことが違うからです。 

 そして、それぞれの役割と責任、権限を認知しておくことが必要になります。これらが認知されていなくては、本人に「当事者意識」が生まれません。自分が当事者でない対策を懸命に実施する人は、通常いないでしょう。自分がその役割でやるべきことが明確になってこそ、責任が生まれるのです。

ルール作りの重要なポイント

 やるべきことを明確にするためにも、組織における情報セキュリティのルール(基準や手順など)が必要になります。

 人的対策を実施する上では、ルールが必要であり、それを守ることが必要です。しかし、ルールで規制する対象は人間そのものでなく、あくまでその「行い」であることに注意をしなければなりません。

  情報セキュリティの事故(インシデント)が発生すると、悪者探しをしがちです。しかし、人間そのものや道具を悪者扱いし、単に罰則を科したり、利用を禁止したりしても、情報セキュリティ対策の実効性はあがりません。

 規制すべきなのは、インシデントが起こった原因である人間の行いであり、道具(PCやUSBメモリ、書類など)の扱い方なのです。これらが、インシデントが発生した本当の原因であり、これらを明らかにして対策をしなければならないからです。どのような行いが良く、どのような行いが悪いのか、どのような道具の扱い方が良く、どのような扱い方が悪いのか、それを人間にルールとして示すことが重要なのです。

 また、ルールはその組織が意図している情報セキュリティ対策の内容や手順等を適切に実施できるようにしなければなりません。あまりに抽象的な内容では、従業員や職員が具体的な行動や判断ができなかったり、人によって違ったりしてしまうからです。

 せっかく、ルールを作っても「守りたくても、守れない」ということが起こりがちです。そのために、情報セキュリティ教育が行われますが、適切に行われなければ、その効果はなくルールが守れるようにはならないのです。「ルールを守れ」というような単なる精神論的な教育や、「危ない、怖い、使うな」というような恐怖をあおるような教育では、具体的な行動には移れず、逆効果になることもあります。

 他にも、教育をしても対策をするためのITスキルが足りなかったり、ルールがわかりにくいのでどうしたらいいかわからなかったりしては、守りたくてもルールは守れません。

 そのためには、以下のような項目を踏まえたルール作りが必要になります。

 また、その対策の目的や効果がわからなかったり、業務の実態に合っておらず、やればやるほど著しく業務効率が落ちてしまったりするようなルールでは、積極的に実施する気にはなれないでしょう。そのためには、動機付けが必要になります。

表:動機付け

 動機付けには、達成感も必要です。そのために、ルールの目的や効果、やればどんなメリットがあり、やらなければどんなデメリットがあるのかを明確にし、ルールが守れたかどうかをチェックできることが重要です。

 この表のような動機付けを行い、従業員や職員が積極的に情報セキュリティ対策を実施できるように教育しましょう。

次のページ
「物理的な対策」のポイント--防犯環境設計という考え方

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
図解!基礎から学び直す情報セキュリティ入門連載記事一覧

もっと読む

この記事の著者

株式会社ラック 長谷川 長一(カブシキガイシャラック ハセガワ チョウイチ)

株式会社ラック セキュリティアカデミー  プロフェッショナルフェローソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報セキュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当。政府機関やIT資格団体等の委員も務めている。主な所有資格は、CISSP。主な著書(共著)は、「情報セキュリティプ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5611 2014/02/25 07:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング