情報セキュリティ教育や啓蒙活動を行い、場合によっては就業規則等に罰則を設ける必要があるというのは、企業のセキュリティ体制を維持していく上で、今更ながらといった感じがする、基本中の基本事項である。 しかし、セキュリティ教育や、啓蒙活動は、本当に効果が現れているといえるだろうか。一般にいわれている教育活動や啓蒙活動は、本当に意味あるものとなっているのだろうか。大抵の場合は社員から不平不満が現れ、ルールが守られずに形骸化していく。もっとも、形骸化しないようにするために、PDCAサイクルで定期的に見直しを行っていくわけだが,いかに見直すといっても、これだけは守らせたいといった事項をねじ曲げてまで社員に迎合するような見直し方をしたのでは、そもそもセキュリティ対策を講じる意味がなくなってしまう。守らせるためのルール作りではあるが、守ってもらうために緩めていては、それは見直しでも何でもなくなってしまう。やはり、いかに守らせるのかを考えるための見直しでなくてはならない。 だが、そうはいっても、どうやって見直せばいいのだろうか、といった疑問は残ることになる。教科書的な答えは、「セキュリティの重要性を社員に理解させ、もしもルールを破った場合、どのような問題が発生して、企業にどのくらい大きなダメージを与えるのかを具体的にはっきりと伝えることである。」ということになるだろう。しかし、本当に、はっきりと伝えれば、社員はみんな守るのか?本当にそんなにお利口な社員ばかりなのか?かなり疑問である。 では、もし、セキュリティを十分に理解してくれる社員ばかりでなかった場合、どうすればよいのだろうか? まず、そもそも、どのようなルールが守られないのかを考えてみなければならない。すると、一般的に、定期的に何かをさせるといったルールのほとんどは、うまく機能していないことに気付くはずだ。たとえば、定期的にセキュリティパッチを適用することや、定期的にウイルスチェックをかけるといったことである。すなわち、能動的な義務規定は、通常守られない傾向が強いのである。何かをやれ!は機能しないのである。これに対して,受動的な禁止規定は、いつの間にか守られていく傾向が強い。これは、たとえば、「○月○日の×時から×時まではパソコンを使ってはいけない」といったものである。特に、理由を説明された上での禁止規定というのは、非常に受け入れられやすい。LEC東京リーガルマインドIT事業本部→ http://lec.jp/it/ss/s/top/ (この記事には続きがあります。続きはScan本誌をご覧ください)http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
