• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ITpro Security

おたくのポリシー本当に役に立ってますか?(6)――セキュリティ教育が大切

園田道夫 2004/07/13 ITpro

セキュリティ教育が大切

 地味ながらも,効果が高いのは(4)の教育だ。セキュリティ・ポリシーに関してある程度理解し,そして反論,反発するならまだしも,やはり「どういうものか全然知らない」「新しい社員規則のことかな」というように,どういうものかすら分かっていない場合もあるはずだ。その層に向けて,セキュリティ・ポリシーの内容と導入効果について教育することがまずは必要だろう。

 それにはまず,セキュリティに関する基礎的な知識を得てもらう必要がある。一般に,どんなことをセキュリティ上のリスクと言い,リスクにはどんな原因があり,どんな対策があるのか。それを知らないと,そもそもセキュリティ・ポリシーを導入する意味について理解できない。その結果,「自分だけは大丈夫」と誤解してしまうのだ(詳しくは別掲記事「効果的な教育コンテンツとは」を参照)。

 内容について理解してもらった層には,ポリシー導入の背景を説明する必要がある。ルールや手順の背景にあるのはリスクであり,こういうリスクを避けるためにこういうルールになっている,と具体的に説明し,ルール本来の目的を理解してもらう。現場にいる人に目的を理解してもらえれば,現場に応じたルール改善も期待できるだろうし,ルールのためのルールではないということを認識してもらって,ルール運用に積極的に関与してもらうことも期待できるはずだ。

 リスクを理解するためには,実際にセキュリティ問題が起こったときの解決ケース・スタディのような教育を取り入れることも必要かもしれない。

 先に挙げた情報漏洩の例を基に,どうやったら未然に防げたか,どうやったら事後処理を誤らなかったか,というのを議論するだけでも効果があるだろう。あるいは自社で起こってしまったセキュリティ事故や事件(インシデント)の分析を行う,というのもよい。もちろん,そんな事故が起こらないに越したことはないが,現実に無事故・無違反ということはまずあり得ない。別にニュースになってしまうような大事故でなくても,小規模な違反とかインシデントを分析するのでもよいだろう。自社の事例をテキストにする方が切迫感があるし,自社の現在のリスクを正しく認識することにもつながる。

 また,セキュリティ・ポリシーそのものを評価するディスカッションなどがあってもよいだろう。もし,BS7799やISMSの認証を受けるのなら,その時点で外部の専門家から評価されることになる。その専門家の意見を受けて,ポリシーをテキストにしてディスカッションする。認証を受けない場合でも,その認証審査員と同様の視点から自分たちのポリシーのアラを探す。これもポリシーの考え方を理解するうえで効果がある。

 さらに望む人がいるなら,いわゆる一般的な監査役のように,セキュリティ内部監査を行う役目を負うときのための教育を用意してもよいだろう(もちろん手間はかかるし,手間でなければコストがかかる)。ルールの背景にとどまらず,もっと踏み込んでリスク分析を行ったり,現状のリスク管理が妥当なのかなどを監査(というよりチェックだろうか)できるようになる。審査員資格を修得するまでいかなくても,少なくとも分析までできればよいだろう。このレベルのスタッフが組織内に点在するようになれば,さらにセキュリティ・ポリシーとその考え方が浸透していくはずだ。

 こうした教育コンテンツは,一般的な集合教育で実施することはもちろん,イントラネットやWebシステムなどを使って,できる限りアクセスしやすく,またいつでも受講できるような仕組みにしておくと効果が上がる。24時間受講可能なWebシステムなら,多様化しているライフスタイルにも適応できる。平日の半日は1日を費やして,多忙な現場の労力を割くのは,最小限に止めたいところだ。

図A-2●日本ネットワーク・セキュリテ ィ協会(JNSA )が入門教育コンテンツ として作成したCD- ROM 「ネットワーク 社会のここが危ない!」のパンフレット

効果的な教育コンテンツとは

 一般的なセキュリティの知識を付けるためのコンテンツとして,例えば図A-1[拡大表示]のようなものはどうだろうか。入門では,できる限り分かりやすい言葉で表現する必要があるはずだ。しかし,リスクに関してはきちんと認識してもらわなければならない(図A-2)。

 また,技術系社員に対しては,図A-3[拡大表示]のように具体的な技術用のリスクを示すコンテンツの方がアピールできるだろう。

 教育ネタはあの手この手,いろいろな作り方をしておくべきである。また,ここで挙げた例はプレゼンテーション資料を意識したものだが,Webのコンテンツとかメールを用いるネタも必要だ。

 必ずしもシステムにしなくてもよいが,アクセスのしやすさ(24時間利用可,ネットワーク利用で遠隔からでも利用可,など)を考えると,システム化できるものはしておきたい。


図A-1●一般ユーザーにセキュリティ・ポリシーを浸透させるた めの教育コンテンツの例
 
図A-3●技術系のユーザーにセキュリティ・ポリシーを浸透させ るための教育コンテンツの例

園田 道夫 Michio Sonoda

筆者は情報処理推進機構(IPA)の脆弱性分析ラボ研究員,および日本ネットワークセキュリティ協会(JNSA)の研究員を務める。JNSAではハニーポットワーキンググループ,セキュリティスタジアム企画運営ワーキンググループのリーダーとして活動している。MicrosoftのSecurity MVP。現在セキュリティ夜話(http://www.asahi-net.or.jp/~vp5m-snd/sec/),極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)にて連続的に読み物掲載中。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【FPGAって何?】

    FPGAは普通のプロセッサと何が違うのか

     数年前から、FPGAに高い関心が集まりつつある。FPGAそのものは1980年代に初めて製品が登場しているから、もう30年ほどの歴史になるが、人気が上がり始めたのは2010年あたりからになる。これにはいくつかの理由がある。今回はFPGAの特徴と、利用が広がった理由を解説する。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る