セキュリティ対策を社内に浸透させるには
情報セキュリティ対策は、管理者や担当者だけで行うものではありません。全社員が目的を共有し、危機意識を持って取り組まなければなりません。しかし、なかなかセキュリティ意識や社内ルールが浸透しない(ルールが守られない)ということも多いようです。
そこで 今回は、セキュリティ対策を社内に浸透させるにはどうしたらいいか、についてまとめてみました。
●まずはセキュリティ管理体制の構築と維持
全社を挙げて情報セキュリティ対策に取り組むため、まずはセキュリティ管理のための体制を整備しましょう。具体的には、次のようなことを決めます。
- 自社がどのように情報セキュリティ管理に取り組むのか基本方針や行動指針を定める
- 管理責任者、管理部署、担当者などの役割を決め、人員を配置する
- 自社の業務内容、取り扱う情報の種類などに応じた管理手順(ルール)を決める
- 必要な資源を用意する(セキュリティソフト、管理ツールなど)
管理手順を決める際は、自社のワークフローにおいてどのようなリスク※が存在するかを把握し、「人的対策」「組織的対策」「物理的対策」「技術的対策」の各側面から有効な対策は何かを考え、ルールを決めていきましょう。
※主なリスクには「端末やデータの紛失・破損・不正使用」「端末のマルウエア感染」「個人情報・機密情報の漏えい」などがあります。各工程や使用する機器ごとに、それらのリスクが発生する原因を特定し、発生する可能性を低減するために何をするべきか決めていきましょう。
ただし、複雑な手順や実際の業務に支障がでるような手順では、ルールを守らない人がでてきてしまう可能性があります。各部署のリーダーなどとよく話し合って、「確実に実施・継続できる」ルールを導入していきましょう。
また、一度決めたらそれでおしまい、というわけにはいかないので、内部監査などによって定期的にルールが守られていることを確認すること、ワークフローや技術の変化に応じて適宜手順を見直すことも必須です。
●ルールを周知・教育する機会を「定期的に」持つ
決めた手順(ルール)を浸透させるためには、定期的に教育や周知の機会を持つことが重要です。周知・教育として、例えば朝礼・終礼や会議の場で口頭や資料の配布による、あるいはグループウェア・社内メール・社内広報誌などを使って、次のような内容について定期的に知る(学ぶ)機会を設けるようにしましょう。
- 世の中で起きているサイバー攻撃の手口やトレンド
- 実際に社内で起きたヒヤリハット事例(こんな攻撃メールが届いた、など)
- 万が一端末がウイルス感染した、端末を外出先で紛失した、など緊急時の対応方法
- 自社のセキュリティ管理手順に変更・追加がある場合の変更・追加事項の周知
- 取引先からの要求事項の変更など契約上必要な情報の共有
重要なのは、経営層や役職者だけでなく、一般社員(アルバイトやパート社員含む)も含めた全社員を対象に情報共有・教育の機会を持つことです。
また、周知・教育の機会は多いほうが効果的ですが、あまり頻繁に行うのは担当者の負担ですし、教育を受ける社員も「またか」となってしまいますので、最低でも1年に1回か2回、または毎月1回程度教育・周知の機会を持つとよいかもしれません。
教育や情報共有といっても、社内にあまり詳しい人がいない……というような場合は、次のような情報セキュリティ専門機関が公開している情報や資料を活用するのもおすすめです。
- IPA(情報処理推進機構)
- 内閣サイバーセキュリティセンター(NISC)
- プライバシーマーク推進センター(JIPDEC)
- セキュリティ対策ソフト開発メーカー
これらの機関が公開している資料は、漫画や動画が使われているものも多く、あまり情報セキュリティやITに詳しくない人でも理解しやすくなっています。
●技術的な対策の導入も有効
社員教育などでルールを周知し、守ってもらうことが大前提ではありますが、精神論だけでは限界があります。
ウイルス対策ソフトはもちろん、端末の紛失や不正操作対策ソフト・サービス、ネットワークや情報資産管理ツールなどを導入し、技術的な側面からセキュリティを強化する、また、パソコンやスマホなどの端末・機器は初期設定のまま使用せず、必要な機能制限(セキュリティ強化)を実施しておきましょう。
●繰り返し、繰り返し、繰り返す
お客様や自社にとって大切な情報を漏えいや不正使用から守り、必要な時に必要な情報が正しく利用できるようにするため、すべての社員が情報セキュリティ対策に適切に取り組むことは企業にとって必要不可欠なことです。
どんなに優れた管理ツールを導入しても、どんなに厳格な管理手順を定めても、それらが適切に使用され、守られていなければ効果は期待できません。
人は誰かが決めたルールに従うことには多かれ少なかれ抵抗を感じやすいものなので、すべての社員が情報セキュリティを意識し、適切に取り扱うためには、とにかく、何度も繰り返して情報を守ることの大切さを伝え、情報を守るためにどうしたらいいのかを伝え、自ら率先してセキュリティ管理を実践するようになってもらうこと、それしかないと思います。
情報セキュリティというと、どうしても「小難しい」「なんかよくわからない」「専門的な知識がないとできない」といったイメージを持たれがちですが、やれることからやれる範囲で取り組んで、徐々に広げていく……といった運用でも十分です。
また、「勉強会」「教育」というとやや堅苦しい感じになりがちですので、ちょっとしたクイズやゲームなどを通じてセキュリティについて学べるようにするものいいと思います。
大切なのは「全員が情報を守ることを意識して取り組むこと」ができるような環境を整備し、維持し、定期的に改善していくことです。
