大枚を払って作成したセキュリティ・ポリシー。作成しただけで,どこかに埋もれていませんか。本稿では,ポリシーを企業や組織内に浸透させるための方法を提言する。それにはまず,ポリシーがもたらすメリットとデメリットをきちんと理解することから始めなければなならない。
2002年は, BS7799(ISO/IEC 17799)(注1)がそれなりに浸透し,同じルーツを持つISMS適合性評価制度(注2)が立ち上がった年になった。これによって,それまで抱いていたセキュリティ・ポリシーというものの“分かりにくさ”が,少しは薄れてきたのではないだろうか。セキュリティ・ポリシーとはいったいどういうものなのか,またポリシーの作り方などがようやく知られ始めてきたと言えるだろう(と,筆者が思っているだけかもしれないが)。
しかし,ポリシーを作り,導入したはよいものの,果たしてそれをきっちり活用できているのだろうか。大いなるリソースを投入して,せっかく作ったセキュリティ・ポリシー――。無駄にしてませんか?
| ||
|
例えば,ポリシーを導入してPDCAサイクル(図1[拡大表示])をきっちり回しているし,組織全体のセキュリティについてレベルアップしているハズなのに,公開サイトで顧客情報をクロスサイト・スクリプティングによって漏洩させてしまったとか。ガイドラインに沿ってシステム構築したのに,弱点を作り込んでしまって,あげくデータベースを破壊されてしまったとか。作り込んだスタンダードを現場に配布したのに,そのスタンダードを基に出来上がった手順書が実はぜんぜんなっちゃいなかったとか。どうも,こういった話は絶えないようだ。
いったい,どこで何を間違ってしまったのだろうか。
浸透しない原因は宣伝不足
セキュリティ・ポリシーを作り,それを組織に浸透させていくプロセスの中で,重要ながら見過ごされがちなのはポリシーの宣伝活動である。というよりも,どうしてみなさんもっと社内に宣伝しないのだろうか。宣伝と言われても,何をどう宣伝すればよいかよく分からないのだろうか(図2[拡大表示])。
もちろん,告知や報告はなされているだろう。「今度我が社でセキュリティ・ポリシーを作りました。社長自ら宣言した適用宣言書もあります。社員はみな熟読するように」という告知は,ある日降って湧いてくる。しかし,これはただの報告であって,宣伝とは言えない。
一般に企業が自社の製品を作って売り出すとき,どんな宣伝をするだろうか。まずは,その製品の「売り」は何なのか,これを徹底的に検討し,その売りを基にさまざまな宣伝手法を採用し,できる限り露出を増やし,人々に効能と良いイメージを植え付けていく。ごく大雑把に言えば,これが宣伝というものだろう。
会社(または組織)のルールなのに,「宣伝が必要」と言われると違和感があるかもしれないが,セキュリティ・ポリシーも製品と同じように「売り」を徹底的に検討し,宣伝しなければならない。
元々,セキュリティ・ポリシー作成以前には,そんな面倒なルールがなくても会社は問題なく活動していたし,儲かってすらいた。もちろん,それはISO9000やISO14000以前でも同じである。昔はそんなものがなくても,仕事に何ら差し支えてなかったのだ。
そういう現場に,新たな制約(ルール)を持ち込むとどうなるだろうか。もちろん抵抗があるはずだ。「いったい何の因果でこんな紙に埋もれなきゃならないんだ」「仕事をやたら複雑にしているだけみたいだが,ほんとうにこれで業務・商売に役立っているのか」「今や何をするにも手順,手順ってうるさいけど,前はこんなカチカチ決めていなくてもちゃんと仕事ができてたのに,何だってこんな面倒なことになってしまったのだ」…などと感じるのではないだろうか。
ということは,セキュリティ・ポリシーやそのルール体系を導入するときには,その抵抗感を上回るだけのメリットを提示できないとならないわけだ。でなければ,必ず罰則がついて回らないとならないだろう。導入メリットと罰則。最低でも,そのどちらかがあり,そしてそれがポリシーのエンドユーザーにきっちりと見えていなければルールは浸透しない。
園田 道夫 Michio Sonoda |