組織内に真のセキュリティ コンプライアンス文化を浸透させる方法セキュリティ規制の不履行は、組織に罰金と好ましくない新聞記事という手痛い結果をもたらすことがあります。組織内に真のコンプライアンス文化を浸透させるにはどうしたら良いのでしょうか。 www.clearswift.co.jp 組織内に真のセキュリティコンプライアンス文化を浸透させる方法セキュリティ規制の不履行は、組織に罰金と好ましくない新聞記事という手痛い結果をもたらすことがあります。組織内に真のコンプライアンス文化を浸透させるにはどうしたら良いのでしょうか。幸いなことに、人間には、利用可能なテクノロジーが存在し、これによって IT ポリシーを施行して組織内の利用者がセキュリティ文化を創り出す手助けをし、企業の真のコンプライアンスを実現することができます。理由対象あなたの組織では、情報セキュリティに関するすべての必要項目にチェックマークが付いていますか。業界と政府の規制を順守することが、かつてないほど重要性を増しています。過去数年間にわたり、各国の政府や業界団体は、企業に対する規制をいっそう強化しており企業が適切な管理を構築していることを証明することを強制しています。組織がセキュリティ規則を順守しなかった場合、高額な罰金を課されることがあります：例えば、クレジットカード会社が施行しているペイメントカード業界 (PCI) のセキュリティ基準に違反した場合、１ヶ月あたり最高 10 万ドルの罰金を課されることがあります。そのうえ、顧客への報告と再発防止のための対策にかかる費用も発生します。さらに、企業の評判への深刻な影響は言うまでもなく、これこそどのような罰金よりもはるかに大きな犠牲を払うことになります。傷ついたブランド価値は金額に換算することが不可能で修復はきわめて困難です。規制と新しいテクノロジーの絶え間ない出現により、情報セキュリティの責任者は途方もなく困難な課題に常に直面しています。責任者は、組織のコンプライアンスを損なうことなく、最新のハードウェア、ソフトウェア、サービスの恩恵を受ける自由を可能な限り組織内の利用者に与える努力をしなければなりません。目的と理由を説明する人間は目標を与えられると、それを達成しようとする習性があります。そこで、組織内にセキュリティコンプライアンスを浸透させるには、まず、目標を設定することから始めます。PCI など、ごく一部の規制ではセキュリティ目標が詳細に定められており、何をどこに実装すべきかが明確に定義されていますが、ほとんどの場合、ガイドラインは広範にわたっており、セキュリティ目標は各組織に委ねられ、組織が独自の目標を作成することによってガイドラインを解釈しています。各職員の組織内での役割と責任を定義することは、セキュリティコンプライアンス戦略における、もう一つの非常に重要な要素です。職員は、組織内での自分の役割の範囲を明確に理解し、その境界線を越えることによるリスクを理解している必要があります。どのシステムにアクセスし、どういった情報を入手することができ、どのような情報を他の人と共有することができるのかが明確になっていなければなりません。 27% 問題なのは人間万全な IT セキュリティポリシーを作ればこの課題は簡単に克服できるかと言えば、実際はそうではありません。文書は「本棚」にじっと収まっているだけで、それ自身は何も行動しません。これらのポリシーを機能させるのは人間です。残念ながら、人間は常に予測通りに行動するのではなく、信頼性も 100% と言うことはできません。人は文化を創り出しますが、それらの文化は時には奇妙で予測できない方向に成長します。 2 情報システムに関する意思決定者の 27% が 2012 年の最大のセキュリティ課題として、セキュリティコンプライアンス要件を満たすことの重要性を認識し、高度で執拗な攻撃、クラウドのセキュリティ、Web アプリケーションの脆弱性より上位に挙げています。 www.clearswift.co.jp また、これらの目標と役割と責任の背景となる理由を職員に説明することも重要です。何かを実行するとき、なぜそれが必要であるかを理解していなければ、人はそれを実行するのを忘れてしまうからです。受付担当者に、特定の部門の特定の職員の名前を絶対に口外しないようにと命じると、彼らは、しつこい訪問者に対してそれ以外の 1 人や 2 人の名前を教えても大した問題ではないだろうと思って応じてしまうかもしれません。一方、ヘッドハンターが有能な営業担当者を引き抜いて競合他社に紹介しようとして名前を聞き出そうとするので、それを阻止するために積極的に関わってほしいと言って協力を求めれば、受付担当者は自分がこのポリシーの実行に関与している責任を感じ、ほぼ確実に守ってくれるでしょう。中国のことわざによれば、「聞いたことは忘れ、見たことは覚える。実際に行動したことは理解することができる。」穏やかに注意喚起する人に、なぜそうする必要があるのかを説明することは、効果的なセキュリティポリシーの一部であり、その重要性を忘れさせないための手段でもあります。ここで、ちょっと歴史を振り返ってみましょう。国家安全体制の強化がとりわけ重要であった第二次世界大戦中、人々の心に刷り込むことを狙って、連帯責任を喚起する内容のポスターや標語が使われていました。職員が持っている情報と同じような情報が、他の組織では慎重に扱われているということを思い起こさせるのも有効です。そうすることで、職員は自分が組織から信頼され、委ねられたデータを、他の組織で期待されているのと同じように取り扱おうとするはずです。監視するこれまで挙げたどの施策も、監視を伴わない限りうまく機能しません。コンプライアンスでは、誰がどのような間違いを起こしたかを立証し、その結果に応じた行動を取る必要があります。効果的な監視には、アメとムチの両方が必要です。正しいことを行った職員には恩恵を与え、間違いを犯した職員には責任を追求します。監視の徹底は、簡単なことではありません。3 分の 2 の組織では、セキュリティポリシーが適切に施行されていません。これは、改善されなければなりません。その 1 つに、職員一人ひとりに責任を持って行動させるための「番人」を組織内に置くというやり方があります。組織のセキュリティの番人は、職員の行動をチェックしてセキュリティコンプライアンスを維持します。組織の中間管理職やグループ長にもこの役割を負わせることによって、さらに強化することができます。さらに一歩進めて、セキュリティをゲームに見立て、例えば、机を離れる前に必ずシステムからログアウトする等、セキュリティ措置を忠実に守った職員に褒賞を与える、というやり方もあります。「不注意な話で命を落とす」というのは企業のセキュリティの世界では少し強すぎる表現かもしれませんが、「パスワードを共有しない」、「情報を開示する前にもう一度考える」、「機密文書を机の上に放置しない」といった標語を書いたポスターをオフィスに貼っておくのは、職員にそれを思い出させる良い方法です。これと合わせて、職員がポリシーに違反する可能性がある行動を取った時に警告を出す仕組みがあれば、その職員に行動を再検討する猶予を与え、情報の漏洩を防止することができます。 3 www.clearswift.co.jp ポリシーは人の行動に対して作られ、テクノロジーはその効果を高めます。時には、ガイドラインを実行するためにテクノロジーの要素が不可欠な場合もあります。例えば、強力なパスワードと 1 ヶ月毎の変更は、ソフトウェアによって強制することができます。電子メールフィルターやソーシャルネットワーキングフィルターは、不適切な情報が組織から漏洩することを防止します。耳を傾ける成功しているセキュリティコンプライアンスは、守らせると同時に、学習し、理解します。セキュリティの監査は、セキュリティの必要項目を満たすための報告書作りだけでなく、組織内のどこに問題があるかを正確に示す手段としても機能します。ある部署で常にパスワードが共有されていることが監査によって明らかになった場合、その部署の職員と対話する機会が生まれます。職員の話に耳を傾けることによって、その背景にログオンプロセスが長すぎる、または作業パターンが反映されていないなどの事情があったことが分かり、システムの設定を変更することで問題の解決につながるかもしれません。 4 ここでの理想的な成果とは、正のフィードバックループを作り出すことです。ポリシーは「生きて」いて、組織の変化に合わせて柔軟に変化するものでなければなりません。監査が有効に働いている時は、職員がどのような行動を取っているかを理解するだけでなく、何が機能し、何が機能していないかを感じ取ることができます。彼らの声に耳を傾ければ、より仕事がしやすくなる方法を教えてくれるでしょう。そして、これらの提案を取り入れることによって、組織のプロセスにより適合したポリシーを作成することができます。その結果、職員は楽しく仕事ができるようになり、組織はより安全になります。この瞬間、法令順守のためのポリシーと、真に組織を保護するためのポリシーの間に存在する目に見えない障壁を飛び越えることができるのです。 www.clearswift.co.jp 追加のヒント、ガイド、詳細については、当社ホームページをご覧ください http://www.clearswift.co.jp クリアスウィフト株式会社〒163-1030 東京都新宿区西新宿3-7-1 新宿パークタワー N30F TEL : 03-5326-3470 FAX : 03-5326-3001 Email: [email protected] www.clearswift.co.jp 5 www.clearswift.co.jp