組織内に真のセキュリティ コンプラ イアンス文化を浸透させる方法 セキュリティ規制の不履行は、組織に罰金と好ましくない新聞記事という手 痛い結果をもたらすことがあります。組織内に真のコンプライアンス文化を 浸透させるにはどうしたら良いのでしょうか。 www.clearswift.co.jp 組織内に真のセキュリティ コンプライアンス文化を 浸透させる方法 セキュリティ規制の不履行は、組織に罰金と好 ましくない新聞記事という手痛い結果をもたら すことがあります。組織内に真のコンプライア ンス文化を浸透させるにはどうしたら良いので しょうか。 幸いなことに、人間には、利用可能なテクノロジーが存在 し、これによって IT ポリシーを施行して組織内の利用者 がセキュリティ文化を創り出す手助けをし、企業の真の コンプライアンスを実現することができます。 理由 対象 あなたの組織では、情報セキュリティに関するすべての必 要項目にチェックマークが付いていますか。業界と政府の 規制を順守することが、かつてないほど重要性を増してい ます。過去数年間にわたり、各国の政府や業界団体は、企 業に対する規制をいっそう強化しており企業が適切な管理 を構築していることを証明することを強制しています。 組織がセキュリティ規則を順守しなかった場合、高額な罰 金を課されることがあります:例えば、クレジット カード 会社が施行しているペイメント カード業界 (PCI) のセキュ リティ基準に違反した場合、1ヶ月あたり最高 10 万ドル の罰金を課されることがあります。そのうえ、顧客への報 告と再発防止のための対策にかかる費用も発生します。さ らに、企業の評判への深刻な影響は言うまでもなく、これ こそどのような罰金よりもはるかに大きな犠牲を払うこと になります。傷ついたブランド価値は金額に換算すること が不可能で修復はきわめて困難です。 規制と新しいテクノロジーの絶え間ない出現により、情報 セキュリティの責任者は途方もなく困難な課題に常に直面 しています。責任者は、組織のコンプライアンスを損なう ことなく、最新のハードウェア、ソフトウェア、サービス の恩恵を受ける自由を可能な限り組織内の利用者に与える 努力をしなければなりません。 目的と理由を説明する 人間は目標を与えられると、それを達成しようとする習 性があります。そこで、組織内にセキュリティ コンプ ライアンスを浸透させるには、まず、目標を設定するこ とから始めます。PCI など、ごく一部の規制ではセキュ リティ目標が詳細に定められており、何をどこに実装す べきかが明確に定義されていますが、ほとんどの場合、 ガイドラインは広範にわたっており、セキュリティ目標 は各組織に委ねられ、組織が独自の目標を作成すること によってガイドラインを解釈しています。 各職員の組織内での役割と責任を定義することは、セキ ュリティ コンプライアンス戦略における、もう一つの 非常に重要な要素です。職員は、組織内での自分の役割 の範囲を明確に理解し、その境界線を越えることによる リスクを理解している必要があります。どのシステムに アクセスし、どういった情報を入手することができ、ど のような情報を他の人と共有することができるのかが明 確になっていなければなりません。 27% 問題なのは人間 万全な IT セキュリティ ポリシーを作ればこの課題は簡単 に克服できるかと言えば、実際はそうではありません。文 書は「本棚」にじっと収まっているだけで、それ自身は何 も行動しません。これらのポリシーを機能させるのは人間 です。 残念ながら、人間は常に予測通りに行動するのではなく、信 頼性も 100% と言うことはできません。人は文化を創り出し ますが、それらの文化は時には奇妙で予測できない方向に 成長します。 2 情 報 シ ス テ ム に 関 す る 意 思 決 定 者 の 27% が 2012 年の最大のセキュリティ課題として、セ キュリティ コンプライアンス要件を満たすこと の重要性を認識し、高度で執拗な攻撃、クラウ ドのセキュリティ、Web アプリケーションの脆 弱性より上位に挙げています。 www.clearswift.co.jp また、これらの目標と役割と責任の背景となる理由を職 員に説明することも重要です。何かを実行するとき、な ぜそれが必要であるかを理解していなければ、人はそれ を実行するのを忘れてしまうからです。 受付担当者に、特定の部門の特定の職員の名前を絶対に 口外しないようにと命じると、彼らは、しつこい訪問者 に対してそれ以外の 1 人や 2 人の名前を教えても大した 問題ではないだろうと思って応じてしまうかもしれませ ん。一方、ヘッドハンターが有能な営業担当者を引き抜 いて競合他社に紹介しようとして名前を聞き出そうとす るので、それを阻止するために積極的に関わってほしい と言って協力を求めれば、受付担当者は自分がこのポリ シーの実行に関与している責任を感じ、ほぼ確実に守っ てくれるでしょう。 中国のことわざによれば、 「聞いたことは忘れ、 見たことは覚える。 実際に行動したことは 理解することができる。」 穏やかに注意喚起する 人に、なぜそうする必要があるのかを説明することは、 効果的なセキュリティ ポリシーの一部であり、その重要 性を忘れさせないための手段でもあります。ここで、ち ょっと歴史を振り返ってみましょう。国家安全体制の強 化がとりわけ重要であった第二次世界大戦中、人々の心 に刷り込むことを狙って、連帯責任を喚起する内容のポ スターや標語が使われていました。 職員が持っている情報と同じような情報が、他の組織 では慎重に扱われているということを思い起こさせる のも有効です。そうすることで、職員は自分が組織か ら信頼され、委ねられたデータを、他の組織で期待さ れているのと同じように取り扱おうとするはずです。 監視する これまで挙げたどの施策も、監視を伴わない限りうま く機能しません。コンプライアンスでは、誰がどのよう な間違いを起こしたかを立証し、その結果に応じた行動 を取る必要があります。効果的な監視には、アメとムチ の両方が必要です。正しいことを行った職員には恩恵を 与え、間違いを犯した職員には責任を追求します。 監視の徹底は、簡単なことではありません。3 分の 2 の 組織では、セキュリティ ポリシーが適切に施行されてい ません。これは、改善されなければなりません。 その 1 つに、職員一人ひとりに責任を持って行動させる ための「番人」を組織内に置くというやり方があります。 組織のセキュリティの番人は、職員の行動をチェックし てセキュリティ コンプライアンスを維持します。組織 の中間管理職やグループ長にもこの役割を負わせること によって、さらに強化することができます。 さらに一歩進めて、セキュリティをゲームに見立て、例 えば、机を離れる前に必ずシステムからログアウトする 等、セキュリティ措置を忠実に守った職員に褒賞を与え る、というやり方もあります。 「不注意な話で命を落とす」というのは企業のセキュリテ ィの世界では少し強すぎる表現かもしれませんが、「パ スワードを共有しない」、「情報を開示する前にもう一度 考える」、「機密文書を机の上に放置しない」といった 標語を書いたポスターをオフィスに貼っておくのは、職 員にそれを思い出させる良い方法です。これと合わせて、 職員がポリシーに違反する可能性がある行動を取った時 に警告を出す仕組みがあれば、その職員に行動を再検討 する猶予を与え、情報の漏洩を防止することができます。 3 www.clearswift.co.jp ポリシーは人の行動に対して作られ、テクノロジーはそ の効果を高めます。時には、ガイドラインを実行するた めにテクノロジーの要素が不可欠な場合もあります。例 えば、強力なパスワードと 1 ヶ月毎の変更は、ソフトウ ェアによって強制することができます。電子メール フィ ルターやソーシャル ネットワーキング フィルターは、 不適切な情報が組織から漏洩することを防止します。 耳を傾ける 成功しているセキュリティ コンプライアンスは、守らせ ると同時に、学習し、理解します。セキュリティの監査は、 セキュリティの必要項目を満たすための報告書作りだけ でなく、組織内のどこに問題があるかを正確に示す手段 としても機能します。ある部署で常にパスワードが共有 されていることが監査によって明らかになった場合、そ の部署の職員と対話する機会が生まれます。職員の話に 耳を傾けることによって、その背景にログオン プロセス が長すぎる、または作業パターンが反映されていないな どの事情があったことが分かり、システムの設定を変更 することで問題の解決につながるかもしれません。 4 ここでの理想的な成果とは、正のフィードバック ループ を作り出すことです。ポリシーは「生きて」いて、組織 の変化に合わせて柔軟に変化するものでなければなりま せん。監査が有効に働いている時は、職員がどのような 行動を取っているかを理解するだけでなく、何が機能し、 何が機能していないかを感じ取ることができます。彼ら の声に耳を傾ければ、より仕事がしやすくなる方法を教 えてくれるでしょう。そして、これらの提案を取り入れ ることによって、組織のプロセスにより適合したポリシ ーを作成することができます。その結果、職員は楽しく 仕事ができるようになり、組織はより安全になります。 この瞬間、法令順守のためのポリシーと、真に組織を保 護するためのポリシーの間に存在する目に見えない障壁 を飛び越えることができるのです。 www.clearswift.co.jp 追加のヒント、ガイド、詳細については、 当社ホームページをご覧ください http://www.clearswift.co.jp クリアスウィフト株式会社 〒163-1030 東京都新宿区西新宿3-7-1 新宿パークタワー N30F TEL : 03-5326-3470 FAX : 03-5326-3001 Email: [email protected] www.clearswift.co.jp 5 www.clearswift.co.jp
© Copyright 2024 Paperzz