前回は情報セキュリティポリシーはどのレベルまで管理するべきかついて解説しました。
危険に対する対策なので構えれば構える程、管理が過剰になりますよね。
特に人員規模の大きな会社ほど狙われる可能性も高く、対応が過剰になる傾向があります。
正しくおそれるが過剰にならない
一見矛盾するようですが、見えない相手との戦いになります。
先ずはぶっちゃけ話として、敵(輩)に本格的に狙われたら完全にアウトです。
なので所詮、どんなセキュリティポリシー策定しようが、費用をかけて対策しようが
絶対なる対策は無理です。
悪質な人的犯罪ではありますが、言葉は適切かは分かりませんが
いつ起こるかわからない「ドロボウ」と捉えても良いと思います。
なので、対策としては過剰に「費用をかけて対策する」では無く
・起きないとように防犯する(最低限の戸締り)
・起きた際に慌てずに対策する(訓練)
・本当の敵は意外にも内部にあり(啓蒙と抑止)
少しこの辺を紐解きます。
・起きないとように防犯する(最低限の戸締り)
過去に起きた内容(事件)を知らなかったでは済まされません。
先ずは情報収集は必要で、過去の事例の対策は最低限対策は必要ですね。
ここは対策メーカーの煽り宣伝に押されるのでは無く
何を管理して何を管理しないか明確に分類して(これがポリシーたるゆえん)
管理体制を築きましょう。
良くあるケースは「弊社はセキュリティレベル2まで行っているので安心です」
とドヤ顔される場合がありますが、実施の中身を見ると形だけのハリボテ管理も多いです。
逆に過剰に管理を入れたがためにデジタル発展を阻害しているケースも散見します。
・起きた際に慌てずに対策する(訓練)
この部分の意識は結構重要度が高いです、特に厳しい業界のポリシーでは
発生時の迅速な対応と組織運営(体制作り)は求められています。
チェックシートを元にした「セキュリティ訓練」や「個人への抜き取りチェック」などは
要件に入っていますので、体制作りと定期的なチェックは必要になりますね。
ここも過剰なチェック内容は不要です、発生時の対応や連絡方法などを明記して
チェックして行くイメージになります。
・本当の敵は意外にも内部にあり(啓蒙と抑止)
全てのPCがネットに繋がり、世界中の情報にやり取り出来る環境です。
なので当然危険リスクは高くなっております。
しかし「全世界が見守っている」と言う考え方も出来ます
GAFAMをはじめとするネット関連企業やクラウド会社は巨額な費用をかけて
日々対策をしております。(ここが生命線でもあるので)
何か異常が発生した場合、広がりも早いですが対応も早いです。
この辺はイタチごっこです。AI時代になっても永遠の課題ですね。
それらを踏まえた場合、
外部の脅威はもちろんありますが本当に危険なのは身内になります。
・危険を知らずに何の迷いも無く「メール添付」を開く
・秘匿ファイルを外部に持ち出す(確信犯)
・怪しいWebサイトの自爆ボタンを無闇に押す
ニュースになる内容はほとんどがこれらの内容です。
結局の所、人が介在するので、この対策は本当に困難です。
性善説だけでは片付けられません。
しかし脅し過ぎて「PC恐怖症」「デジタル嫌い」になるのも時代に逆行です。
良い塩梅で…と言うのが1番悩ましい所です。
解決法は「啓蒙と抑止」になります。
「あなたの社内での動きは見えてますよ」と伝えるだけでも効果的です。
※決して全て見えている訳ではないですが、見える仕組みがありますよ程度
この辺のさじ加減で、進めて行くのが「求められている管理」になりそうです。
ただただ上位メーカー(親会社)からの指示だから…
と盲目的にならずに、各社の取組などの情報を集めながら進めて行きましょう。