情報セキュリティ対策は一般的にセキュリティ対策ソフトの導入、ファイアウォールの設定、プロキシによる通信許可の制限などハードウェアの対策に目が行きがちです。
しかし、最近では組織内部の人間による内部からの不正アクセスや個人情報・機密情報の持ち出しなど、モラルの欠如が原因の犯罪も多発しています。
こうしたモラルの欠如に対応するためには、情報セキュリティに対する教育の徹底が必要です。
一言で教育といっても、セキュリティに関する教育はイメージがつきにくいと思います。本記事では、情報セキュリティポリシーを軸にして、ビジネスの現場にセキュリティ対策を浸透させるための教育について、下記の通りまとめました。
1.情報セキュリティポリシーを作成する。
・組織、体制の確立
・基本方針の策定
・情報資産の洗い出しと分類
・リスク分析
・管理策の選定
・対策基準の策定
・対策基準の明文化と周知徹底
・実施手順の策定
2.情報セキュリティポリシーを周知徹底する
・役割と責務の確認の徹底
・情報の機密性のランク付けとランクに応じた取り扱いの徹底
・個人情報取り扱い時の注意事項の徹底
・情報やコンピュータの持ち出しに関する規定
・ソフトウェアのインストールに関する規定
・遵守事項、禁止事項、推奨事項を、特に重要な点を強調して伝える
・罰則や組織への被害など、情報セキュリティポリシーを遵守しなかった場合の結果を示す
・常時監視していることを伝える。
・情報セキュリティポリシーと実施手順はいつでも閲覧可能な状態にしておく
3.情報セキュリティの脅威と対策をする
情報セキュリティポリシーを遵守する意味がわからないと、いずれ形骸化してしまいます。そのために、実際の事例を伝えることも重要です。
・脅威と被害を具体的に教える
・脆弱性対策やウィルス対策など基本的な対策を教える
・メールやWebサイトの閲覧や、ソフトウェアのダウンロードなど基本的な心構えを教える
・新種のウィルスや新たな脆弱性などの緊急に対処すべき事項は重要フラグをつけたメールで全社に通知する
4.情報セキュリティ教育の対象
社長、役員、管理職、一般社員、派遣社員、アルバイト等全ての従業員を対象にするだけでなく、業務委託先にも情報セキュリティポリシー遵守に関する誓約書を取るなどの対応を取る。
このように情報セキュリティポリシーが、情報セキュリティ教育の根幹をなします。
具体的にどのような方策を取るべきかは、個別の事例を含めて周知していく必要があります。
ただ、ポリシーに関しては組織の情報セキュリティに関する基本方針なので、専門家の意見を取り入れ、漏れのないように、PDCAサイクルに則って、より確実に対策が取れるものを作り上げていく必要があります。