« 節分の不思議 | トップページ | フレンズ 1stシーズン »

2006/02/04

情報セキュリティの基本

企業における情報セキュリティの基本は「人」です。

管理側と運用側、利用者全てが正しい知識を持ち、それを実行する姿勢が無ければいけません。こう聞くと当然だと思われるでしょう。何を今更という感じです。
しかし、実態はみんなが知っている「当然」のようにはなっていません。

人を育てる前に制度の導入です。
人を育てる前にシステムの導入です。

知識の無い人に制度を導入を伝えて、その制度を守るよう誓約書を書かせています。
知識の無い人にシステムの導入を伝えて、そのシステムを利用するよう強要しています。

それはなぜかと言うと、やっぱり「人」がいないから。

僕の会社では、個人情報保護法や昨今の情報漏洩問題から、情報漏洩につながるような情報機器の利用をしないという誓約書を書かされました。個人のノートパソコンを業務に利用したり、個人の記憶媒体に業務に関わるデータを保存する事を禁止したり、HDDには暗号化の処理を施すソフトを導入する事などがルールとして決められました。しかし、出張や出向が多い会社なので外部記録メディアを支給されました。これに暗号化を施すソフトは支給されていません。

指定されている方法以外での通信やデータの交換は一切禁止だそうですが、指定された方法が明文化されたものは提供されていません。あるらしいのですが、社外秘なので外部で仕事している社員には教えられないそうです。

僕の会社では、社内のメールを個人アドレスに転送する事を禁止するようになりました。出張や出向の多い会社なのでとても不便です。そこで、幾人かの人は個人のメールアドレスに直接送信してもらっているようです。

人を育てない会社の情報セキュリティは安全なものと言えるのでしょうか。

知識の無い人は誓約書に書いてある内容を理解せず、違反を違反と認識しないまま仕事を続けます。
知識の無い人は導入されたシステムの不便さを不便だと言いながらそのまま使い、仕事の効率を落とし続けます。または、便利な代わりにもっと危険な抜け穴を見つけてそちらを使います。

その時悪くなるのは、違反した社員でしょうか。それとも実効性の無い制度やシステムを導入した会社でしょうか。多分、誓約書を書いているから社員が悪くなるでしょう。
そして、その社員を罰則規定に基づいて処罰したとして解決すると思いますか?

ちなみに、うちの会社でも教育をしていると考えている人がいるようです。その内容は、一方的に文書を送り、読んだ旨の文章を返信するというものです。
そんなに簡単に理解できるものだと思うのですか?
それらなこれほど問題にならないでしょ?
この事から、この人も教育ができていないことがわかります。

上記の例は、悪い例として一番よく挙げられる例だそうです。

また悪い例として挙げられるのは、情報を扱っている社員が本当の機密情報とどうでもよい情報を十把一絡げに考え、どうでもいい情報を保護するために一生懸命時間を食いつぶすとか、どうでもいい情報を扱うのに必要な手順に面倒を覚えて保護されない簡便な方法を見出し、本当の機密情報も同じように扱うというのがあるようです。

事故が起こってからの反省を避けられない事もあるかもしれませんが、教科書の一番最初に出てくる失敗と同じ事をしているのはどうかと思いますよね。
思い当たる人は、早速行動しましょう。

|

« 節分の不思議 | トップページ | フレンズ 1stシーズン »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/79953/8495232

この記事へのトラックバック一覧です: 情報セキュリティの基本:

» 企業の情報セキュリティとモラル [写真ってblog]
会社の情報セキュリティ対策がどんどん厳しくなっている。昔は個人のパソコンを職場に... [続きを読む]

受信: 2006/02/17 23:38

« 節分の不思議 | トップページ | フレンズ 1stシーズン »