なんとなく情報セキュリティ part1
« 前の記事
| 次の記事 »
今の世の中、「情報セキュリティ」ってどこでも注意されてます。
三井物産ヴィクシアではISO27001(情報セキュリティマネジメントシステム)
を取得していますので、ご他聞に漏れず社内で情報セキュリティの組織があります。
いや、私自身がその担当なのですが。。。。
■まずはここから始めよう。
こういうとき、上の方は率直に言ってきます。
「情報セキュリティのレベルアップに向け、有効な対策を考えて欲しい」
でも、情報セキュリティのレベルアップにはいろんな手段があります。ネットワーク管理、入り口の生体認証鍵、コピー機の制限、etc。。。いちいち挙げたらキリがありません。どれから手を付けたらいいか。。。
とは言うものの、一番効果の高い対策というのは実は明白です。これができたら、情報セキュリティは8割方為ったも同然。それは、
「社員教育」
・・・意外でしたでしょうか・・・?
てか、「そんなんで情報セキュリティが出来るなら苦労しねーわ!」
と思われたでしょうか?
でも、本当なんです。実際にデータがあります。
■情報漏えい事故の原因
JNSA(日本ネットワークセキュリティ協会)の調査によると、
2005年に発生した情報セキュリティ事件を原因別に分けてみると、
紛失によるもの 43%
誤操作によるもの 12%
管理ミス 5%
不正持ち出し 3%
これだけでも6割超えますが、この他に 「盗難」が26%を占めます。盗難って言っても、マスコミに出るような、「パチンコしてたら盗まれちゃいましたぁ」とか、「空港で置き引きされちゃいましたぁ」とか「自宅で仕事してたら泥棒に入られちゃいましたぁ」とか不可抗力でないものも含まれてます。(てか、多分そういうものがほとんど?)
こうなると、情報セキュリティ事件の8割くらいは、社員の意識の問題になっちゃうんですよ。社員がちゃんと情報の取り扱いに気をつけよう、って意識を持ってたら、情報セキュリティリスクは8割カットなんです。
ただ、事件を起こした大抵の人はこういいます。
「気をつけてたつもりなんだけど。。。」
でも、問題は何に気をつけてたかなんですね。
■情報セキュリティって言っても別に特別なことじゃない
情報セキュリティを「リスクマネジメント」と、もっと大きいくくりで捉えると判りやすくなります。カタカナ文字にすると、とっつきにくくなりますが、日本では成人のかなりの人が、公共機関に認められた「リスクマネジメント」の訓練をしているはずなのです。
これ、持ってる人も多いでしょう?
「運転免許」
自動車教習所の講義の中で、教官が「このときどんな危険が潜んでるか考えてくださぁ~い」って良く言っていたのを覚えてませんか?
交通事故を避けるには、危険を予測すること。情報セキュリティ事故を避けるのも同じ。そう、予め、どんな危険(=リスク)があるか、想像する訓練。これを社員にしてもらうんです。「重要情報持ったまま宴会」なんてのは論外としても、
・ パスワード長い間変えてない、とか、
・ FAX番号良く確認しないで送っちゃった、とか、
・ ランチしながら上司の悪口で盛り上がった、とか、
・ 飲みかけのコーヒーPCにこぼしちゃった、とか
誰でも一度くらいは心当たりあるんじゃないでしょうか?
「情報セキュリティ」って観点から見ると、どれもキケンな行為ですよね。
■なんだかんだ言っても健康第一
そしてもう一つ。教習所で教わることに、「こういうときには運転しちゃいけない」てのがありますね。酒酔い運転。ながら運転。寝不足。疲労。風邪薬飲んでるとき。イライラしてるとき。
情報セキュリティも同じです。疲れてるときに重要な情報を触っちゃイカンのです。ヘトヘトになるまで働いちゃイカンのです。注意力散漫になってますから。
「頑張りすぎる社員は潜在リスク」なのです。
頑張ってくれてるのがわかるので、上の方も言いにくいし、つい、頼っちゃいがちですが、潜在的なリスクにもなっているという意識を持ちましょう。
日中頑張って、早く帰って早く寝る。社内で仲良く和気藹々と仕事する。忙しい人がいたら手伝う。こんなことが、実はお金もかからず、一番有効な情報セキュリティ対策だったりするんですね。いや、マジで。
その点、我が三井物産ヴィクシアでは、皆早く帰って。。。。。
帰って。。。。。えーと。。。(以下自粛)
ま、それは置いといて。(置いとくな)
少なくとも、皆和気藹々と仕事してます。
楽しい職場です。三井物産ヴィクシア。
寄稿者:天口水鳥
« 前の記事 | 次の記事 »
| パーマリンク | 
