• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ITpro Security

おたくのポリシー本当に役に立ってますか?(1)――浸透しない原因は宣伝不足

園田道夫 2004/06/08 ITpro

大枚を払って作成したセキュリティ・ポリシー。作成しただけで,どこかに埋もれていませんか。本稿では,ポリシーを企業や組織内に浸透させるための方法を提言する。それにはまず,ポリシーがもたらすメリットとデメリットをきちんと理解することから始めなければなならない。

 2002年は, BS7799(ISO/IEC 17799)(注1)がそれなりに浸透し,同じルーツを持つISMS適合性評価制度(注2)が立ち上がった年になった。これによって,それまで抱いていたセキュリティ・ポリシーというものの“分かりにくさ”が,少しは薄れてきたのではないだろうか。セキュリティ・ポリシーとはいったいどういうものなのか,またポリシーの作り方などがようやく知られ始めてきたと言えるだろう(と,筆者が思っているだけかもしれないが)。

 しかし,ポリシーを作り,導入したはよいものの,果たしてそれをきっちり活用できているのだろうか。大いなるリソースを投入して,せっかく作ったセキュリティ・ポリシー――。無駄にしてませんか?

図1●ポリシー作成後はPDCA サイクルを回してレベルアップを図る。
PDCA とはPlan , Do ,Check ,Action というセキュリティ上のサイクルの頭文字を合わせた言葉。一般に,このサイクルを何度も繰り返しながら,全体のセキュリティ・レベルを向上させていく
図2●セキュリティ啓蒙ポスターの例

 例えば,ポリシーを導入してPDCAサイクル(図1[拡大表示])をきっちり回しているし,組織全体のセキュリティについてレベルアップしているハズなのに,公開サイトで顧客情報をクロスサイト・スクリプティングによって漏洩させてしまったとか。ガイドラインに沿ってシステム構築したのに,弱点を作り込んでしまって,あげくデータベースを破壊されてしまったとか。作り込んだスタンダードを現場に配布したのに,そのスタンダードを基に出来上がった手順書が実はぜんぜんなっちゃいなかったとか。どうも,こういった話は絶えないようだ。

 いったい,どこで何を間違ってしまったのだろうか。

浸透しない原因は宣伝不足

 セキュリティ・ポリシーを作り,それを組織に浸透させていくプロセスの中で,重要ながら見過ごされがちなのはポリシーの宣伝活動である。というよりも,どうしてみなさんもっと社内に宣伝しないのだろうか。宣伝と言われても,何をどう宣伝すればよいかよく分からないのだろうか(図2[拡大表示])。

 もちろん,告知や報告はなされているだろう。「今度我が社でセキュリティ・ポリシーを作りました。社長自ら宣言した適用宣言書もあります。社員はみな熟読するように」という告知は,ある日降って湧いてくる。しかし,これはただの報告であって,宣伝とは言えない。

 一般に企業が自社の製品を作って売り出すとき,どんな宣伝をするだろうか。まずは,その製品の「売り」は何なのか,これを徹底的に検討し,その売りを基にさまざまな宣伝手法を採用し,できる限り露出を増やし,人々に効能と良いイメージを植え付けていく。ごく大雑把に言えば,これが宣伝というものだろう。

 会社(または組織)のルールなのに,「宣伝が必要」と言われると違和感があるかもしれないが,セキュリティ・ポリシーも製品と同じように「売り」を徹底的に検討し,宣伝しなければならない。

 元々,セキュリティ・ポリシー作成以前には,そんな面倒なルールがなくても会社は問題なく活動していたし,儲かってすらいた。もちろん,それはISO9000やISO14000以前でも同じである。昔はそんなものがなくても,仕事に何ら差し支えてなかったのだ。

 そういう現場に,新たな制約(ルール)を持ち込むとどうなるだろうか。もちろん抵抗があるはずだ。「いったい何の因果でこんな紙に埋もれなきゃならないんだ」「仕事をやたら複雑にしているだけみたいだが,ほんとうにこれで業務・商売に役立っているのか」「今や何をするにも手順,手順ってうるさいけど,前はこんなカチカチ決めていなくてもちゃんと仕事ができてたのに,何だってこんな面倒なことになってしまったのだ」…などと感じるのではないだろうか。

 ということは,セキュリティ・ポリシーやそのルール体系を導入するときには,その抵抗感を上回るだけのメリットを提示できないとならないわけだ。でなければ,必ず罰則がついて回らないとならないだろう。導入メリットと罰則。最低でも,そのどちらかがあり,そしてそれがポリシーのエンドユーザーにきっちりと見えていなければルールは浸透しない。

園田 道夫 Michio Sonoda

筆者は情報処理推進機構(IPA)の脆弱性分析ラボ研究員,および日本ネットワークセキュリティ協会(JNSA)の研究員を務める。JNSAではハニーポットワーキンググループ,セキュリティスタジアム企画運営ワーキンググループのリーダーとして活動している。MicrosoftのSecurity MVP。現在セキュリティ夜話(http://www.asahi-net.or.jp/~vp5m-snd/sec/),極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)にて連続的に読み物掲載中。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【FPGAって何?】

    FPGAは普通のプロセッサと何が違うのか

     数年前から、FPGAに高い関心が集まりつつある。FPGAそのものは1980年代に初めて製品が登場しているから、もう30年ほどの歴史になるが、人気が上がり始めたのは2010年あたりからになる。これにはいくつかの理由がある。今回はFPGAの特徴と、利用が広がった理由を解説する。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る