前回は「情報セキュリティポリシーお役所が作ると過剰対応になり現場は混乱」について考察しました。
大企業やお役所が作ったルールを作ると、急に張り切り(仕事が仕事を作り)リスクを
最小限に抑えるために過剰側でのルール対応になり。
言葉を選ばすに言いますと、少し本質とズレた対応になることが多いです。
過去の事象をベースにリスクヘッジしますので網羅的になりえます。
これらを如何に守っても、最新の対応には後手後手になるのもこの分野です。
身の丈にあった「情報セキュリティポリシー」の策定
実際の所、企業規模や予算、人員が潤沢な大手や行政などであれば実現できても
それらに及ばない中小零細にまでルールとしては遵守を求められます。
であれば「身の丈にあったものを…」とご提案しても
「親会社からの指示なので、そんな悠長な事は言ってられない」が実の所本音です。
親会社に指示なので、表面上でも見繕ってやってる感を出しましょう。
が表立っては言えないですが現場の本音です。
「身の丈にあったものを…」は、適当にごまかしましょう。では無く
きちんと抑えるべき所は抑えて、メリハリを付けましょう。
が本章で伝えたい所です。
改めて情報セキュリティの考え方を整理します。
ネットに繋ぐ前(オフライン時代)は、精々外部脅威よりも社内の持出し(内部課題)の
脅威がメインでした。それがインターネットにつながり、外部との接触が増えた段階で
一気に内外のリスクが増えて来て現在に至ります。
- 外部からの攻撃(メールなど)
- 社内から外部に触れに行って被害を受ける
- 内部からの情報流出(情報漏洩)
大きく分けると関係リスクは3つ位に層別出来そうです。
この辺の場合分けを整理します。
・外部からの攻撃(メールなど)
情報セキュリティリスクとしては、1番難しい分野です。
敵は国内だけで無く世界戦の輩との戦いになります。
先ずは、ここには絶対(完全防備)は無いと割り切りましょう。
この部分を深く掘り下げるとこの章だけでは足りない位の内容になります。
先ずは最低限の最新版情報にはアップデートしておきましょう。
でも、予算的に最新版PCやソフトが使用出来ない企業について問題になります。
※この辺が大手と中小の大きな違いです。
この解決策は明快ではありませんが、ない袖は振れません。ではどうするか?
先ずはこの情報の明確化(事実として認識)する事から始めましょう。
きちんと台帳管理を行いリスク層別(大中小)を行い、対応策を分けて管理します。
※具体的には別途記事にして行きます。
モノの管理は予算も有るので非常に悩ましい所ですが、先ずは出来る出来ないでは無く
事実として明確に分類管理する事が第一歩です。
次はヒトの管理です。これは企業規模に限らず付きまとう問題です。
利用者のモラルや知識に委ねられるのでモノ課題よりも厄介です。
そうなるとポイントは2つ
- 起さない:ルールをしっかり提示(伝えて)啓蒙教育を行う
- 起こした際の罰則:リール遵守の明確化(抑止力としての提示)
・社内から外部に触れに行って被害を受ける
この内容もリスク管理としては重要では有るが、これは攻められると言うよりも
逆に自ら取りに行き被害を呼び込むケースになります。
想定出来るのは、怪しいメールなどのURLをクリックしてしまう 等
しかしこの内容は何らかのアクション時に起こる事象なので
比較的ウイルスチェックには検知され易い内容になろうかと思います。
なので留意点として教育を行う程度で良いと思います。
・内部からの情報流出(情報漏洩)
この問題は少しややこしいです。人が介在しますので難しくなります。
意図的に行う場合と知らずに成りすまされる可能性も有るので注意が必要です。
意図的に行う場合は「事件」として情報漏洩として扱われるので厳罰化も含めた
ルール徹底と遵守約束が必要です。
成りすましの場合は、何らかのウイルス感染が疑われるのでウイルスチェック機能に
委ねるしかありません。
以上のように整理してみると、どの方向性について優先的にルール化して教育啓蒙を行うか?
物理的にリスクを最小限に抑えるか?(過剰に行うか、出来る範囲で行うか?)
この部分の見極めが重要になって来ます。
リスクを過剰に捉えてるルール化するのは簡単です、しかし一度ルールにしてしまうと
緩和させる事は困難です。
この辺のさじ加減が中小企業が算定すべきセキュリティーポリシーになります。
「身の丈」とは言うものの、対応する側がしっかりと意識付けしないと体制に流される事になります。
この辺の標準化を「まちの総務」としてサポートして行きたいと思います。