情報セキュリティ基礎知識


セキュリティポリシーやシステムが完璧でも

どんな立派なセキュリティポリシーを策定しても、どんなセキュアなシステムを構築しても必ず落とし穴があります。
企画書を鞄に入れ自宅に持ち帰る途中で電車に置き忘れてしまい戻ってこなかった。
システム管理者が待遇に不満を持ち、サーバーから顧客データを抜き取りライバル会社に売り渡す(サーバーから顧客データをコピーしたログを消去)。その人が退職してから被害が明らかになる。

このように、ルールやシステムを作っても、結局は使う人間に委ねられているのです。一部の社員がセキュリティポリシーを策定し実施しようとしても不満を持っている社員がいると思うような効果が出ないものです。会社の経営者は経営課題としてセキュリティリスクに対して本気で対応する意気込みを社員に伝えることが求められます。

セキュリティ対策の落とし穴

一度話を聞いただけでは身に付かない

会社のビジョンや方針など重用事項を社員に伝えようと経営者は努めていると思います。同時に、そのような想いが社員一人ひとりに浸透するのは難しいことだと実感していると思います。
専門のことでも人に伝え、理解させるということは難しいものです。ましてや、「情報セキュリティ」という分野は会社のほとんどの人が専門外であるため、理解を得るには何度も何度もその機会を設ける必要があります。一度やったから大丈夫だと思っているのは教えている側だけであり、教えられる側は全く理解していないということが多々あります。

計画的に教育を行う

定期的に教育を実施する

「セキュリティ教育はどの程度おこなえば良いですか。」という質問を受けます。理想は毎月行うことが好ましいと言いますが、現実的には半年に一度くらいを薦めています。高い頻度で行うことが望ましいですが、業務の支障にもなりますし、またセキュリティ教育自体に嫌悪感を持つ社員も出てくるかもしれないので、忘れた頃に行うといった感じで良いと思います。また、セキュリティポリシーの変更や重大なインシデント(事故)対応など急を要するものは都度行いましょう。

クリアデスクやクリアスクリーンなどセキュリティ対策の基本については、実践できていない人に注意をみんなで行うなど、簡単に行えることを中心に全員が当事者意識を持ち行動できることが望ましいです。

セキュリティ教育の実施日

セキュリティ教育の内容

毎回、異なる資料でなくとも構いません。社員のセキュリティ対策の理解度に応じて教育資料を変えることが望ましいです。また、対策だけでなく、セキュリティリスク(最近では標的型攻撃メール、ランサムウェアでの攻撃が多いなど)について、注意喚起を行うということをテーマとしても良いでしょう。

注意喚起もセキュリティ教育

コンタクト情報

Topics

Top