Last Updated 2003/1/2

●Security INDEXへ

★TOP INDEXへ


NetworkWorld 2002年10月号掲載

セキュリティポリシーはなぜ必要なのか?

セキュリティポリシーを持とうと思っていてもなかなか作成できない組織は多い。あるいは、作ろうとも思わない、作る必要を感じていない企業も多いようだ。
今までポリシーなんて無くても別に不自由しなかったわけだし、特に大きな不正アクセス事件や情報漏洩が起きているわけでもない。 それなのに何でわざわざ高いお金や人材を投じてまでポリシーを作らなければならないのだろうか?

「セキュリティポリシー」などと構えると大仰だが、例えば読者の方々の組織に「行動指針」や「経営方針」といったものは存在するだろうか?普通は何かその類のガイドラインやポリシーが存在するはずだ。
または「人事規程」とか「社員規則」といったものもあるだろう。
そういうルールがもし無かったとしたらどうだろうか?
セクハラやネコババが横行し、風紀は乱れてオフィスでタバコ吸い放題酒飲み放題、というようなことになるかもしれない(少し大げさだっただろうか(笑))。そこまで極端ではなかったとしても、仮にそういう事態になったら、結果として業務が停滞、阻害されてしまうことになるはずだ。この厳しい世の中でそんな効率の悪い組織が存続していけるだろうか?
セキュリティポリシーやガイドラインが必要な理由も同じである。
セキュリティでのリスクを意識したポリシーやガイドラインとは、セキュリティ面から見て業務を停滞、阻害させる要因を減らすことを目的としたものなのだ。もちろんそれだけが目的ではなく、資産として価値がある情報を守る、ということも目的ではあるが。
セキュリティポリシーも社員規則や行動指針も、業務の遂行を妨げる要素を減らす、という目的では同じと言えるのだ。

セキュリティポリシーの中で明らかにすべきことは、「日常的な業務をこなす中での基本的な考え方やあるべき姿勢」である。したがって「所有する情報資産を守らなければならない」というような基本的な考え方を、わかりきっていることかも知れないが明記するわけだ。この基本姿勢のもとで、顧客名簿リストを闇で売りさばくような行為を防いだり、漏洩という意識もなくぺちゃくちゃ吹聴してしまうようなことも予防するべく、具体的な行動指針=ガイドライン、手順書に落としていく。また、仮にガイドラインや手順書に掲載されていないような事態が起きたときには、基本姿勢を思い起こして対処を決めることになる。そのために、くどくても当たり前でも方針は明記するのだ。
そして実は、その「当たり前のこと」が世間の常識とかけ離れていたり、社員間でずれていたりするために、世を騒がす不祥事を引き起こしたり、談合しても「悪いことはしてない」と真顔で言い切ったりするようになることが多い。それは当面の業務の遂行上問題が無かったとしても、明るみに出たりすると信用面でも商売面でも結局多大な損害を覚悟しなければならない。ということはつまり業務の遂行には支障が生じてしまうわけだ。
当面問題が無く、それどころか上手く行ったら大もうけ、というようなビジネスであっても、長期にわたって上手く行くのかどうかを検討して問題があるようだったら、それはやはり阻害する要因と言うしか無いだろう。
当面問題が無いことであっても、それが長期にわたって業務を阻害するかどうか、そういう点で業務プロセスを洗いなおすということも、セキュリティポリシー作成時の狙いである。
セキュリティポリシー作成時にはリスク分析作業を行なうが、そこでは洗い出された価値ある情報について、それが暴露されたらどういう影響があるのか、改ざんされたらどういう影響があるのか、漏洩や使用不能状態にされたらどうか、破壊されたらどうなるのか、という分析を行なうのだ。そこで否応無く長期的な視点を持ち込むことになり、信用リスク、訴訟リスクなど、経営に打撃になるようなリスクについて考えることになる。
考えた結果、現場が日常的に業務を行なう、そのやり方を改善したり、技術的な対策を導入してリスク管理をサポートしたりするようにしていくのだ。
もちろん上から下までスーパーエリート社員で固められて、かれらはすべてモラルも飛びぬけて高く、情報セキュリティに関してはこの複雑なインフラの時代にあっても専門家はだし、という組織であれば、いまさらセキュリティ面から練り上げた行動指針など必要が無いだろう。しかし、そうではないから顧客無視の不祥事や情報漏洩が後を絶たないのだ。
日常的に間違いのない行動を採るためには、さまざまな視点できっちりレビューされたセキュリティポリシーやガイドライン(行動指針)が必要なのである。そのためにも、セキュリティ面での方針、ポリシーが必要なのだ。

Copyright © 2002-2003 Sonoda Michio

●Security INDEXへ

★TOP INDEXへ