日商 Assist Biz

更新

企業を襲うサイバー脅威 効果的なセキュリティルールをつくるには

前回は、サイバー攻撃に気付き、対応する方法について説明いたしました。今回は情報セキュリティ対策を効果的にするルールのつくり方について解説いたします。

従業員が情報セキュリティ対策を実施するためには、まず情報セキュリティポリシーや情報セキュリティ手順書(マニュアル)などと呼ばれるルールが必要になります。このルールが従業員に十分に伝わらなかったり、守ってくれなかったりということが多いようです。

情報セキュリティに限らず、ルールはその人の業務の役割と責任に応じて、企業が意図したとおりの内容で、実際の業務の中で実施されるようにできなければなりません。そのためには、まず業務の中でどのような重要情報を扱っているか、理解しなければなりません。その上で、業務のプロセス(取得、利用、保管、廃棄など)の中で実施すべきことを洗い出し、具体的な方法や手順で示すことが必要です。そうしなければ、従業員が実際に判断や行動することが難しいからです。たとえば、「重要情報は、慎重に廃棄する」は「重要な情報を含んだ書類や媒体(CD-RやDVD-R)は、シュレッダーで裁断し、再読不可能になったことを確認する」というように、具体的な方法や手順を示すことが求められます。

そして、これをさらに確実にするために、教育や内部監査を実施しましょう。ルールを読み上げて「これを守れ」というだけでは効果がありません。ルールで示した方法や手順が文書だけで十分に伝わらないことがあります。それを補うためにも、従業員への教育が必要になります。

内部監査は、ルールで示した方法や手順が適切に実施されているかを確認するために行います。実施状況を口頭での質問や自己点検票で確認するだけではいけません。それだけでは、「やっているつもり」「できているつもり」で実施していることになってしまうからです。できる限り実施の記録を取り、それを客観的に第三者的立場の者が確認するようにしましょう。

今までこのコーナーでは、企業における情報セキュリティの重要性について説明してきました。次号からは、具体的な情報セキュリティの脅威と対策のポイントについて解説していきます。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

長谷川長一

今回からタイトルを変え、企業を襲うさまざまなサイバー脅威の手口と対策を解説していきます。まずは、「インターネットバンキング詐欺」を取り上げます。現在はインターネット…

前の記事

長谷川長一

前回は、サイバー攻撃の「敵」を知ることについて説明しました。今回はサイバー攻撃に気付き、対応する方法について説明します。 気付くためには、見つけられなければなりませ…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…