セキュリティ教育が大切
地味ながらも,効果が高いのは(4)の教育だ。セキュリティ・ポリシーに関してある程度理解し,そして反論,反発するならまだしも,やはり「どういうものか全然知らない」「新しい社員規則のことかな」というように,どういうものかすら分かっていない場合もあるはずだ。その層に向けて,セキュリティ・ポリシーの内容と導入効果について教育することがまずは必要だろう。
それにはまず,セキュリティに関する基礎的な知識を得てもらう必要がある。一般に,どんなことをセキュリティ上のリスクと言い,リスクにはどんな原因があり,どんな対策があるのか。それを知らないと,そもそもセキュリティ・ポリシーを導入する意味について理解できない。その結果,「自分だけは大丈夫」と誤解してしまうのだ(詳しくは別掲記事「効果的な教育コンテンツとは」を参照)。
内容について理解してもらった層には,ポリシー導入の背景を説明する必要がある。ルールや手順の背景にあるのはリスクであり,こういうリスクを避けるためにこういうルールになっている,と具体的に説明し,ルール本来の目的を理解してもらう。現場にいる人に目的を理解してもらえれば,現場に応じたルール改善も期待できるだろうし,ルールのためのルールではないということを認識してもらって,ルール運用に積極的に関与してもらうことも期待できるはずだ。
リスクを理解するためには,実際にセキュリティ問題が起こったときの解決ケース・スタディのような教育を取り入れることも必要かもしれない。
先に挙げた情報漏洩の例を基に,どうやったら未然に防げたか,どうやったら事後処理を誤らなかったか,というのを議論するだけでも効果があるだろう。あるいは自社で起こってしまったセキュリティ事故や事件(インシデント)の分析を行う,というのもよい。もちろん,そんな事故が起こらないに越したことはないが,現実に無事故・無違反ということはまずあり得ない。別にニュースになってしまうような大事故でなくても,小規模な違反とかインシデントを分析するのでもよいだろう。自社の事例をテキストにする方が切迫感があるし,自社の現在のリスクを正しく認識することにもつながる。
また,セキュリティ・ポリシーそのものを評価するディスカッションなどがあってもよいだろう。もし,BS7799やISMSの認証を受けるのなら,その時点で外部の専門家から評価されることになる。その専門家の意見を受けて,ポリシーをテキストにしてディスカッションする。認証を受けない場合でも,その認証審査員と同様の視点から自分たちのポリシーのアラを探す。これもポリシーの考え方を理解するうえで効果がある。
さらに望む人がいるなら,いわゆる一般的な監査役のように,セキュリティ内部監査を行う役目を負うときのための教育を用意してもよいだろう(もちろん手間はかかるし,手間でなければコストがかかる)。ルールの背景にとどまらず,もっと踏み込んでリスク分析を行ったり,現状のリスク管理が妥当なのかなどを監査(というよりチェックだろうか)できるようになる。審査員資格を修得するまでいかなくても,少なくとも分析までできればよいだろう。このレベルのスタッフが組織内に点在するようになれば,さらにセキュリティ・ポリシーとその考え方が浸透していくはずだ。
こうした教育コンテンツは,一般的な集合教育で実施することはもちろん,イントラネットやWebシステムなどを使って,できる限りアクセスしやすく,またいつでも受講できるような仕組みにしておくと効果が上がる。24時間受講可能なWebシステムなら,多様化しているライフスタイルにも適応できる。平日の半日は1日を費やして,多忙な現場の労力を割くのは,最小限に止めたいところだ。
効果的な教育コンテンツとは一般的なセキュリティの知識を付けるためのコンテンツとして,例えば図A-1[拡大表示]のようなものはどうだろうか。入門では,できる限り分かりやすい言葉で表現する必要があるはずだ。しかし,リスクに関してはきちんと認識してもらわなければならない(図A-2)。 また,技術系社員に対しては,図A-3[拡大表示]のように具体的な技術用のリスクを示すコンテンツの方がアピールできるだろう。 教育ネタはあの手この手,いろいろな作り方をしておくべきである。また,ここで挙げた例はプレゼンテーション資料を意識したものだが,Webのコンテンツとかメールを用いるネタも必要だ。 必ずしもシステムにしなくてもよいが,アクセスのしやすさ(24時間利用可,ネットワーク利用で遠隔からでも利用可,など)を考えると,システム化できるものはしておきたい。 |
園田 道夫 Michio Sonoda |