ルールの意味をしっかり理解していなかったために…(イラスト:グリー/大室絵理)
今回ノートパソコンを盗まれちゃったこの社員、「帰宅時には引き出しに入れて施錠!」というルールの目的を、しっかり理解していなかったのです。もちろん「パソコンをなくさないため」、これが一番の目的ですが、このルールにはもう1つの大きな意味があるのです。それは「事故が起きた際の被害を最小化する」というものです。
だって新聞報道を見比べてみれば一目瞭然ですよね。情報セキュリティ事故が起きたときは、その内容がお粗末であればあるほど、より大きな社会的信用を失います。この「引き出しルール」には、事故発生時のリスクを最小限に抑える、という目的も含まれていたんです。
情報セキュリティにおいて「絶対に大丈夫」はありえません。事故防止だけに注力していたら、いざ事故が起きたときに何もできない。だから万が一に備え、事故防止とリスク回避の“バランス”を取ったルールを作らなければいけないのです。社員教育でも、ココをしっかり伝える必要があります。
なぜ先生のUSBメモリは紛失しやすいのか
さて、ここでやっと冒頭の疑問、「なぜ先生のUSBメモリは紛失しやすいのか」。実はこれにも“バランス”が大きく関係しています。情報セキュリティのルールを作るためには、当然ですが「セキュリティポリシー」が必要になりますよね。誰が何を、どこまでやれるかという、セキュリティの基本仕様です。たとえば以下のようなものです。
① 外部アクセスの制限(どんなサイトにアクセスできるか)
② インストールの制限(PCにソフトをインストールできるか)
③ メール添付の制限(ファイル添付の可否・容量制限)
④ USBメモリなど外部媒体への制限
⑤ データ書き出しの制限(データの読み込み、書き出し制限)
② インストールの制限(PCにソフトをインストールできるか)
③ メール添付の制限(ファイル添付の可否・容量制限)
④ USBメモリなど外部媒体への制限
⑤ データ書き出しの制限(データの読み込み、書き出し制限)
実は、多くの学校で運用されているポリシーをグラフにすると……もう一目瞭然なんです。
トピックボードAD
有料会員限定記事
ビジネスの人気記事
ログインはこちら