前回は、情報セキュリティポリシーにおける管理レベルの見極め方について解説しました。セキュリティ対策は厳重に行うほど安全性が高まりますが、過剰な対策は企業の運営に支障をきたすこともあります。特に、大規模な組織ではリスクが大きいため、対応が過剰になりがちです。

過剰に恐れず、正しいリスク意識を持つ

セキュリティリスクは、見えない敵との戦いです。極端な話、もし本格的な標的となった場合、完全に防ぐことは不可能です。どれだけ対策を講じ、予算を投じても、完全な防御は難しいのが現実です。これを理解したうえで、リスク管理においても冷静なバランスが求められます。

悪質な犯罪行為であるものの、いつ起こるかわからない「泥棒」のように捉えることで、過剰に恐れることなく現実的な対策を整えることが重要です。

対策の基本方針

  1. 起こさないための防犯対策(最低限のセキュリティ体制)
    過去の事例に基づいた最低限の対策は欠かせません。情報収集を行い、具体的に何を管理し、何を管理しないかを明確に定めることが、ポリシー策定の基本です。中には「セキュリティレベルが高い」との触れ込みでも、実態は表面的な対策にとどまるケースもあります。また、過剰な管理によりデジタル化の進展が阻害される場合もありますので、適切なバランスを見極めましょう。
  2. 問題発生時に迅速に対応できる体制の構築(訓練)
    万が一の際の迅速な対応が求められるため、チェックシートに基づいた「セキュリティ訓練」や定期的なチェックを通じて、実効性ある体制を整えます。過剰なチェックではなく、発生時の対応手順や連絡方法を明確にしておくことが重要です。
  3. 内部リスクの意識向上と抑止
    社内のPCがネットワークを通じて外部と接続される環境下では、内部からのリスクも増大します。GAFAMを含む多くのIT企業が日々巨額をかけてセキュリティ対策に取り組んでいますが、それでもリスクは尽きません。したがって、リスクを外部に限定せず、内部リスクへの啓蒙と抑止も併せて行うことが大切です。

たとえば以下のようなケースが挙げられます:

  • 無意識に危険なメールの添付ファイルを開く
  • 機密ファイルを外部に持ち出す行為
  • 危険なWebサイトへのアクセス

このような事例のほとんどが人為的ミスによるものであり、対策は難しいものの、啓蒙によってリスクの低減は可能です。ただし、あまりに脅しすぎると「PC恐怖症」や「デジタル嫌い」に繋がりかねません。

適度な管理で効果的に進める方法

適切な塩梅を見つけるためには、社員に「動向を把握している」ことを意識させることも有効です。全てを見ているわけではありませんが、セキュリティ体制がしっかりと稼働していることを伝えるだけでも、リスク行動の抑止に効果があります。

他社の取り組みを参考にしながら、盲目的に対策を施すのではなく、実用的で現実的なセキュリティポリシーを策定していきましょう。