公務員叩きに物申す!-現職公務員の妄言 システム運用保守に、後期高齢者医療制度に、公務員叩き批判に、行政改革に、福祉行政に、ITに、WEB2.0に、SNS管理に、VBに、Scriptに、情報セキュリティに、IPネットワークに、SEOに、ほんの少し家族サービスなブログ。

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。


はてなブックマークに追加 はてなブックマークのコメント livedoorクリップに追加 livedoorクリップ数 niftyクリップに追加  del.icio.usに追加  Yahoo!ブックマークに登録 Yahoo!ブックマーク数 googleに追加 

自由利用マーク
このマークは当blogの記事部分に付けられたものです。
タグリスト:
 さて、情報セキュリティへの関心が高まり、徐々にではあるが、セキュリティポリシーも策定されつつある。
 だが依然として官民問わず個人情報流出事件は後を絶たない。
 つい先日もKDDIにおける400万人もの顧客情報流出が報じられたのが記憶に新しいが、KDDIに限らず、Yahooや楽天、NTTdocomoなど、情報産業の最先端を行くこうした企業や団体が、皆前科持ちなのである。
 もちろん、皆立派なセキュリティポリシーを備えている会社ばかりである。
 
 何が言いたいかというと、つまりセキュリティポリシーは持っているだけでは意味が無いということである。
 策定はあくまでスタートラインなのだ。

 では、良いセキュリティポリシーとはいったい何か?

 月並みではあるが、自分なりの意見を書いてみることにする。



1.合意があり、浸透していること

 非常によくあるパターンは、ステレオタイプのセキュリティポリシーを、情報統括部門が押し付けるというものである。
 トップダウンで行われる場合においても、間接的に関っていることは間違いない。
 そうした導入のされ方の場合、他部門にしてみれば反発心もあるし、現場の状況や意見が反映されていないため、せっかく作成しても守られないことが多い。

 浸透というのは、全員が知っていて守っているということである。
 全員は文字通り情報資産を取扱うもの全員である。
 正社員だろうが、派遣だろうが、嘱託員だろうが、臨時職員だろうが、委託先だろうが、アルバイトだろうが関係ない。
 正社員や正職員のみに周知徹底させ、アルバイトは存在すら知らぬまま情報端末を操作している、などというのはナンセンスこの上ない。



2.具体的で無理がないこと。

 「不正アクセスを防止するために必要な措置を講ずること」
 ポリシーの最上位にこうしたことを掲げるのは問題ないが、ここまでで終わってしまい、下位規定が無い場合がある。
 「必要な措置とは一体何ぞや」
 当然そういう話になるわけで、部門ごとに解釈にずれがあったり、温度差がでたりする。
 本来ポリシーとは、具体的で、誰が見ても明らかに理解でき、誤解の無いものでなければならない。

 「OSのパスワードは2週間に1回変更し、10文字以上とすること」
 「Eメールを外部に送信する際には、所定様式(電子メール送信伺い)に記入し、必ず上司の承認を得ること」
 いくら具体的であっても、現実に実行できないポリシーであれば意味が無い。
  
 誤解を恐れずに言えば、セキュリティと利便性は相反する。
 なぜならば、一般ユーザーが便利に利用できる環境は、悪意を持った侵入者にも快適に利用できる環境だからである。
 だからといって、締め付けすぎるのは良くない。

 システムは道具である。道具が不便では商売上がったりである。
 そもそも、セキュリティ対策というのは、ここまでやればOKというものでもない。
 あるラインでの妥協は必要である。
 
 コストをかけ、専用のツールやソフトを導入すれば、セキュリティと利便性を両立させることができるが、「偉い人」というのはなぜかここに金をかけたがらない傾向にある。



3.常に実態に即していること。即ち見直しが図られていること。
 
 これが一番重要なことである。
 何でもそうであるが、最初から完璧なものなど作れるはずも無い。
 セキュリティポリシーも然りである。

 組織の状況が変わることはありうるし、何より情報技術の進歩は凄まじい。
 比較的短期間で常に見直しが図られることが重要なのである。

 政令市クラスで、セキュリティポリシーを条例化してガチガチに固めてしまっている自治体もあるが、セキュリティーポリシーの何たるかが理解できていない。
 作っただけで満足して失敗する典型といえよう。




はてなブックマークに追加 はてなブックマークのコメント livedoorクリップに追加 livedoorクリップ数 niftyクリップに追加  del.icio.usに追加  Yahoo!ブックマークに登録 Yahoo!ブックマーク数 googleに追加 

自由利用マーク
このマークは当blogの記事部分に付けられたものです。
タグリスト: セキュリティポリシー, セキュリティ,

ナビゲーション

特集記事

カテゴリー

ブログ内検索

RECENT ENTRYS

RECENT COMMENTS

RECENT TRACKBACKS

プロフィール

現職公務員SE Author:現職公務員SE
 シスアドでセキュアドな後期高齢者医療制度SNS管理人。
 後期高齢者医療制度の資格事務担当だったはずがひょんなことで電算担当に。

HSタグクラウド

Feed Me!

公務員叩きに物申す!-現職公務員の妄言のRSSフィード

後期高齢者医療制度開始カウントダウン





リンク

中の人

FC2カウンター


公務員サイトランキング 現職公務員サイトランキング ビジネスブログランキング 人気ブログランキング - 公務員叩きに物申す!-現職公務員の妄言

スカウター : 公務員叩きに物申す!?現職公務員の妄言 はてなブックマークカウンター
  • seo

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。