社内ルール「パスは英数字混在10桁以上」が脆弱性を生む!?

情報セキュリティ対策は、いったん構築・導入すれば勝手に機能するわけではありません。現場の推進役が日々ルールを運用しつつ、ルールをより現場に即したものへとメンテナンスし続けないと、むしろセキュリティレベルは大きく下がってしまいます。本記事は『そのセキュリティ対策が会社を潰す』(幻冬舎MC)から抜粋・再編集したものです。

情報セキュリティ対策が機能するには「推進役」が必要

情報セキュリティ管理者、情報セキュリティ担当者、内部監査員、そして現場で手を動かす従業員――彼らが最初から役割に応じた能力を身に付けていれば、情報セキュリティ対策はすぐにでも機能します。

 

しかし多くの場合、外部の研修やeラーニングという形で教育を施す必要があります。役割ごとに求められる能力と、役割に応じた教育方法は次のとおりです。

 

<各役割に属する人に必要な能力>

 

●情報セキュリティ管理者・情報セキュリティ担当者

第一に情報セキュリティの必要性・重要性がわかっていることが挙げられます。規格については、名前すら知らないという人もいるので、まずは管理者が必要事項などをきちんと理解しておく必要があります。そのうえで、社内の業務内容や業務の実態を把握していることが大切です。情報セキュリティマネジメントシステムは実際に運用されなければ意味がないので、リーダーシップを発揮し、従業員に対して適切な指導ができるかといった能力も求められます。

 

●内部監査員

各部門の情報セキュリティマネジメントシステムをチェックするため、情報の取り扱いと自社の業務について幅広い知識が求められます。また、各部署、社員との関係性などに左右されず、独立した視点から内部監査が実施できることが必須です。

 

●従業員

情報セキュリティに関する自社のルールを理解し、それらを実現するために自分がすべき内容を理解し、取り組む能力が求められます。

 

内部監査h
内部監査員は情報セキュリティ対策のメンテナンスにも役立つ

 

<各担当者への教育方法>

 

各担当者が必要な能力を身に付けるために、役割ごとに講義やeラーニングを利用した教育を実施します。「講義やeラーニング」といわれても、どこでどんなものを受ければいいのかわからないという場合は、「ISMS(もしくはPマーク)研修(もしくはeラーニング)」と検索すれば、さまざまなサービスがヒットするので、そのなかから予算や目的に合ったものを選べばよいでしょう。

 

また、教育後は理解度を確認するためにテストを実施します。不合格者には再び教育を受けてもらって確認テストを実施するなど、常に一定の質が保てるよう教育と実践、確認を続けていきます。それぞれの結果を記録として保管しておけば、各担当者の苦手な部分などがわかりやすくなるので、次回以降の教育に役立てることができます。

内部監査の活用で「現場に即したルール」へと改善

情報セキュリティを構築するときと同様、メンテナンスをする際にも所定の手順があります。情報セキュリティのメンテナンス方法としておすすめの方法は、実際の現場の情報取り扱い手順などを確認する「内部監査」を利用することです。ISMSやPマークを取得している企業に関しては、定期的に内部監査を実施しなければなりません。せっかく内部監査をするのであれば、その機会を有効活用して、情報セキュリティ対策をアップデートすることをおすすめします。

 

<内部監査>

内部監査は次の手順に従って行います。

 

① 内部監査は監査を受ける人もいるため、最初にいつ監査を実施するのかスケジュールを決める

 

② 内部監査員は内部監査当日までに確認すべきことをある程度まとめておく(その際にはチェックリスト等を作成するのもおすすめです)

 

③ 当日、内部監査員が内部監査を行う

 

④ ルール違反や気になる点があれば「監査レポート」に記入する

 

<ルールに違反しているケース>

●法令に違反している

●顧客との契約内容に違反している

●自社のルールに違反している

 

<改善を検討すべき事項(気になる点)>

●ルールには違反していないが、セキュリティや効率を考えて検討してもよい事項

●以前から業務上で気になっていた懸念事項

●今はルールが不明確な事項

 

⑤「監査レポート」を提出する

内部監査の仕事は、違反の摘発でなく「業務改善」

内部監査とは組織の改善のために行うものです。この前提に立つことで、内部監査員も内部監査を受ける従業員も、前向きに情報や意見を出し合えるようになります。そうして初めて、内部監査は本来の役割を果たすことができるのです。

 

したがって、ルールを守れていない人を見つけた場合にも、一概に「ルール違反=よくないこと」と決めつけるべきではありません。なぜなら、ルールそのものが現状の業務に即していない可能性があるからです。そのような場合は、人を変えるのではなく、ルールを変える必要があります。ルールの遵守を促すのも内部監査の役割ですが、ルールと現状の乖離を見つけるのも内部監査の重要な役割なのです。

 

ルール上問題ない、もしくはグレーだけれども改善したほうがいいというケースも、内部監査員が気づけば報告していくべきです。

 

たとえば「英数字混在の10桁以上」というパスワードの設定ルールがあったとします。一見有効なルールに思えますが、実際のパスワードが「社名+簡単な数字(個人の誕生日など)」になっていれば、セキュリティレベルは大きく下がってしまいます。ルールを守っていれば万事OKではないのです。

 

また、内部監査の効果を高めるには、受ける側の協力も必要不可欠です。日常的に気になっている点を内部監査員に積極的に申告してもらえれば、より現場に即したルールづくりに役立つからです。そのためにも「ルール違反を責める内部監査」ではなく、「業務改善のための内部監査」にしていかなければなりません。

 

ルールに従って働く以上、情報セキュリティのルールとは、自分たちの働き方そのものといっても過言ではありません。自分たち自身で働きやすいルールをつくっていきましょう。

 

「ルール違反」および「改善を検討すべきケース・事項」があった場合の対応は、次回詳述します。

 

 

幸松 哲也

LRM株式会社 代表取締役 CEO

LRM株式会社
 代表取締役 CEO

新卒で大手システムインテグレータのTIS株式会社に入社しその後外資系IT企業、システム会社を経て2006年12月にLRM株式会社を設立。
「情報は『守る』ためにあるのではなく、『使う』ためにある」をポリシーに、セキュリティダイエットの実現に向けて多伎にわたる提案をしている。
ISMS認証審査機関において主任審査員として審査業務にも携わってきた経験も持つ。

著者紹介

連載その「セキュリティ対策」が会社を潰す

そのセキュリティ対策が会社を潰す

そのセキュリティ対策が会社を潰す

幸松 哲也

幻冬舎メディアコンサルティング

毎年相次ぐ大手企業の情報漏えい事件。その原因の多くは「間違った情報セキュリティ対策」にあります。セキュリティ対策ソフトの導入や情報の持ち出し規定の強化など、一見対策を行っているように見えても、実際には内容が更新…

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

登録していただいた方の中から
毎日抽選で1名様に人気書籍をプレゼント!
会員向けセミナーの一覧