「ルールを守れ」や「危ない、怖い、使うな」は逆効果~人的な対策と物理的な対策のポイント

EnterpriseZine / 2014年2月25日 7時0分

図:設置場所に注意

 前回は、情報セキュリティ対策のうち、技術的な対策のポイントについて説明いたしました。情報セキュリティ対策は、近年の組織におけるIT依存度の高まりなどから、技術的な対策が重要になってきています。しかし、技術的な対策だけでなく、人的な対策と物理的な対策を組み合わせることが、情報セキュリティ対策の効果を高めるうえで重要になります。そこで今回は、情報セキュリティ対策のうち、人的な対策と物理的な対策のポイントについて解説いたします。

■「人的な対策」で最も重要なこと--役割と責任、権限の明確化

 人的な対策で最も重要なことは、役割と責任、権限を明確にすることです。これらが違えば、情報セキュリティ対策として実施すべきことが違ってきます。一般の従業員や職員、経営陣、情報システム担当者では、もちろん組織の中での役割や責任が異なり、情報セキュリティ対策でもやるべきことが違うからです。 

 そして、それぞれの役割と責任、権限を認知しておくことが必要になります。これらが認知されていなくては、本人に「当事者意識」が生まれません。自分が当事者でない対策を懸命に実施する人は、通常いないでしょう。自分がその役割でやるべきことが明確になってこそ、責任が生まれるのです。

■ルール作りの重要なポイント

 やるべきことを明確にするためにも、組織における情報セキュリティのルール(基準や手順など)が必要になります。

 人的対策を実施する上では、ルールが必要であり、それを守ることが必要です。しかし、ルールで規制する対象は人間そのものでなく、あくまでその「行い」であることに注意をしなければなりません。

  情報セキュリティの事故(インシデント)が発生すると、悪者探しをしがちです。しかし、人間そのものや道具を悪者扱いし、単に罰則を科したり、利用を禁止したりしても、情報セキュリティ対策の実効性はあがりません。

 規制すべきなのは、インシデントが起こった原因である人間の行いであり、道具(PCやUSBメモリ、書類など)の扱い方なのです。これらが、インシデントが発生した本当の原因であり、これらを明らかにして対策をしなければならないからです。どのような行いが良く、どのような行いが悪いのか、どのような道具の扱い方が良く、どのような扱い方が悪いのか、それを人間にルールとして示すことが重要なのです。

 また、ルールはその組織が意図している情報セキュリティ対策の内容や手順等を適切に実施できるようにしなければなりません。あまりに抽象的な内容では、従業員や職員が具体的な行動や判断ができなかったり、人によって違ったりしてしまうからです。

この記事に関連するニュース

トピックスRSS

ランキング