セキュリティに対しての意識がベースとなる対策
経営者をはじめ、従業員の意識づけが情報セキュリティ対策をしっかりと行なうためには不可
欠です。
従業員のセキュリティに対するリスク意識が低ければ、標的型メール攻撃の犠牲に簡単になっ
てしまいますし、重要な情報の電子媒体や帳票を紛失してしまうためです。
かなり昔の話ですが、消防設備が完備されているという認定を受けていた旅館で火災が発生
し、死傷者が出でた事例がありました。
この事例では、火災報知器の電源を切っていたことが原因でしたが、それは、火災の前に火災
報知器の誤検知が多発していたことからです。
そして、情報セキュリティ対策でも同じことがいえます。
例えばパスワードが第三者に知られてしまうような扱い方をしていたのでは、第三者による
不正アクセスを防ぐことはできません。
また、アクセスログを取得してアクセスログの分析を行なうルールになっていても、その分析
を実施しなければアクセスログを取得している意味がなくなってしまいます。
したがって、情報システムを取り扱う者すべての経営者や社員、パート、アルバイト、派遣社
員を含めて全員のセキュリティ意識を高めなければなりません。
情報セキュリティ意識を高めるための網羅性
網羅性というのは、情報や情報システムを取り扱う者全員を対象とすることとなりますが、
従業員などの情報セキュリティ意識を高めるためには、網羅性が重要になります。
網羅性を確保するうえでのポイントは、次のようにあります。
(1)意識づけは、経営者、部長ほど重要
自分は対象にしなくてよいと考えがちなのが、経営者や部長などの、職位が上位のポストにあ
る人たちですが、それは、企業の文化や風土が関係しているのかもしれません、下位の担当者
が経営者や部長に向かって「教育を受けてください」とは言いにくいからです。
しかし、経営者や部長などは、一般社員よりも外部にその重要な情報が漏れてしまうと大きな
問題に発展する重要な情報を知り、取り扱っていることから、
特にセキュリティ意識をもつことが重要です。
(2)意識づけは、パート、アルバイト、派遣社員なども忘れない
セキュリティの意識づけは、正規社員とは異なる勤務形態や、短期間の雇用という理由からを
行なわなくてもよいということはありません。
パート、アルバイト、派遣社員などに対しても適切に行うことが必要です。
以前、「著名人が来ている!」とホテルのアルバイトがSNSを使って情報を流したり、食品の
取り扱いが不適切だったり、経営に深刻な影響を及ぼす事件が多発したことを忘れてはなりま
せん。
(3)情報セキュリティ教育を実施しているのかによって、外部委託先の選定する
組織が異なるので外部委託先については、セキュリティの意識づけができないというように考
えてはいけません。
自社のセキュリティポリシーを自社の業務を取り扱う委託先の従業員に対して適切に実施する
ことを定めておく必要があり、これは、委託契約を締結する前におこないます。
委託先として選定する際は、どのような情報セキュリティ教育を実施しているのかを事前に評
価したうえで外部委託先を選定することが重要です。
管理方法として、委託先に対して、セキュリティ教育などを実施した結果を報告させるように
するとよいでしょう。
意識づけ可能な限りシンプルに行なうことで理解しやすくなる
情報セキュリティに関する意識づけを行うないあたり、重要なことは可能な限りシンプルに行
なうことです。
従業員個人に情報セキュリティについて判断が必要だったり、情報セキュリティ規則を指導し
たりする際、詳細に理解するようにするのではなく、「業務以外に利用しない、勝手にもち出
さない」といったシンプルな指導の方が従業員にとってはわかりやすくなります。
「クリアデスク、クリアスクリーン」(机の上に何も置かない、画面はログオフする)といっ
た簡単な言葉として指導することも有効です。
実態は、時と共に薄れてしまうのが情報セキュリティに関する意識です。
そのため、忘れたころにセキュリティの意識づけを行なうのが有効です。
例えば、半期ごとに実施するかたちにしてもいいですし、情報セキュリティ月間、情報セキュ
リテイの日などを設定して実施するのも有効です。
また、職場の緊張感がなくなってきたかなと感じるときに、管理者の立場から感じるときに注
意喚起することが重要です。
何れにしても、組織の状況や雰囲気に常に注意を払うことが大切です。
従業員などに飽きさせないような工夫が必要になります。
毎回同じような方法で意識づけを行なうと、教育などは形骸化してしまい意識づけの効果が薄
れてしまいます。
そのため、従業員などに飽きさせないようにする工夫が必要になります。
例えば、次のようなことです。
・映像を使う
・社長から意識づけをしてもらう
・他社事例を紹介する
・理解度テストを行なう
・グループディスカッションを採用する
・外部講師による講演や研修を行なう
セキュリティ人材の不足がシステム開発の失敗やシステム障害の発生につながる
最近、日本ではサイバーセキュリティ人材が不足しており(セキュリティを担う人材)人材育
成が急務となっていて、企業においてもセキュリティ人材が不足しています。
そして、セキュリティ人材だけではなく、IT人材も不足しているので、システム開発の失敗や
システム障害が発生します。
従来の企業では、IT業務を非コア業務として位置づけてきましたが、結果はIT人材の育成は進
まず、IT人材の不足という現状があります。
このように、リスクがわからない状況でシステム開発・運用のIT業務を外部委託すると、誤っ
た指示・承認を行なってしまうリスクがあり、しいては、システム開発の失敗やシステム障害
の発生をひきおこす要因にもなりかねません。
IT人材を社内で育成することは手間がかかるため、企業はIT人材を外部から確保する方法をと
る場合もあります。
特に情報セキュリティ人材はいま特に不足していて、中途採用で人材を確保している企業が多
い状態です。
まとめ
こうした「情報セキュリティをいかに確保するか」という事業者や組織にとってのニーズに
対応し、2016年春より情報処理推進機構(IPA)は「情報セキュリティマネジメント試験」を
開始することになり、主な対象は個人情報を取り扱うすべての人ですが、情報管理を担当する
人はもちろんのこと、業務部門や管理部門の情報管理担当者もターゲットのひとつとしている
点も特色のひとつです。
事業者からのトップダウンのセキュリティ対策のみならず、部門レベルでの適切な知識と対応
を推進することで、トラブルを未然に防ぎ、発生してしまった場合の適切な対応ができる組織
づくりに有用なものになると考えられます。
従業員教育の一環として情報セキュリティ担当者はもちろん、従業員の受験も検討してはいか
がでしょうか。