新しい記事を書く事で広告が消せます。
このマークは当blogの記事部分に付けられたものです。
新しい記事を書く事で広告が消せます。
このマークは当blogの記事部分に付けられたものです。
さて、情報セキュリティへの関心が高まり、徐々にではあるが、セキュリティポリシーも策定されつつある。
だが依然として官民問わず個人情報流出事件は後を絶たない。
つい先日もKDDIにおける400万人もの顧客情報流出が報じられたのが記憶に新しいが、KDDIに限らず、Yahooや楽天、NTTdocomoなど、情報産業の最先端を行くこうした企業や団体が、皆前科持ちなのである。
もちろん、皆立派なセキュリティポリシーを備えている会社ばかりである。
何が言いたいかというと、つまりセキュリティポリシーは持っているだけでは意味が無いということである。
策定はあくまでスタートラインなのだ。
では、良いセキュリティポリシーとはいったい何か?
月並みではあるが、自分なりの意見を書いてみることにする。
1.合意があり、浸透していること
非常によくあるパターンは、ステレオタイプのセキュリティポリシーを、情報統括部門が押し付けるというものである。
トップダウンで行われる場合においても、間接的に関っていることは間違いない。
そうした導入のされ方の場合、他部門にしてみれば反発心もあるし、現場の状況や意見が反映されていないため、せっかく作成しても守られないことが多い。
浸透というのは、全員が知っていて守っているということである。
全員は文字通り情報資産を取扱うもの全員である。
正社員だろうが、派遣だろうが、嘱託員だろうが、臨時職員だろうが、委託先だろうが、アルバイトだろうが関係ない。
正社員や正職員のみに周知徹底させ、アルバイトは存在すら知らぬまま情報端末を操作している、などというのはナンセンスこの上ない。
2.具体的で無理がないこと。
「不正アクセスを防止するために必要な措置を講ずること」
ポリシーの最上位にこうしたことを掲げるのは問題ないが、ここまでで終わってしまい、下位規定が無い場合がある。
「必要な措置とは一体何ぞや」
当然そういう話になるわけで、部門ごとに解釈にずれがあったり、温度差がでたりする。
本来ポリシーとは、具体的で、誰が見ても明らかに理解でき、誤解の無いものでなければならない。
「OSのパスワードは2週間に1回変更し、10文字以上とすること」
「Eメールを外部に送信する際には、所定様式(電子メール送信伺い)に記入し、必ず上司の承認を得ること」
いくら具体的であっても、現実に実行できないポリシーであれば意味が無い。
誤解を恐れずに言えば、セキュリティと利便性は相反する。
なぜならば、一般ユーザーが便利に利用できる環境は、悪意を持った侵入者にも快適に利用できる環境だからである。
だからといって、締め付けすぎるのは良くない。
システムは道具である。道具が不便では商売上がったりである。
そもそも、セキュリティ対策というのは、ここまでやればOKというものでもない。
あるラインでの妥協は必要である。
コストをかけ、専用のツールやソフトを導入すれば、セキュリティと利便性を両立させることができるが、「偉い人」というのはなぜかここに金をかけたがらない傾向にある。
3.常に実態に即していること。即ち見直しが図られていること。
これが一番重要なことである。
何でもそうであるが、最初から完璧なものなど作れるはずも無い。
セキュリティポリシーも然りである。
組織の状況が変わることはありうるし、何より情報技術の進歩は凄まじい。
比較的短期間で常に見直しが図られることが重要なのである。
政令市クラスで、セキュリティポリシーを条例化してガチガチに固めてしまっている自治体もあるが、セキュリティーポリシーの何たるかが理解できていない。
作っただけで満足して失敗する典型といえよう。
だが依然として官民問わず個人情報流出事件は後を絶たない。
つい先日もKDDIにおける400万人もの顧客情報流出が報じられたのが記憶に新しいが、KDDIに限らず、Yahooや楽天、NTTdocomoなど、情報産業の最先端を行くこうした企業や団体が、皆前科持ちなのである。
もちろん、皆立派なセキュリティポリシーを備えている会社ばかりである。
何が言いたいかというと、つまりセキュリティポリシーは持っているだけでは意味が無いということである。
策定はあくまでスタートラインなのだ。
では、良いセキュリティポリシーとはいったい何か?
月並みではあるが、自分なりの意見を書いてみることにする。
1.合意があり、浸透していること
非常によくあるパターンは、ステレオタイプのセキュリティポリシーを、情報統括部門が押し付けるというものである。
トップダウンで行われる場合においても、間接的に関っていることは間違いない。
そうした導入のされ方の場合、他部門にしてみれば反発心もあるし、現場の状況や意見が反映されていないため、せっかく作成しても守られないことが多い。
浸透というのは、全員が知っていて守っているということである。
全員は文字通り情報資産を取扱うもの全員である。
正社員だろうが、派遣だろうが、嘱託員だろうが、臨時職員だろうが、委託先だろうが、アルバイトだろうが関係ない。
正社員や正職員のみに周知徹底させ、アルバイトは存在すら知らぬまま情報端末を操作している、などというのはナンセンスこの上ない。
2.具体的で無理がないこと。
「不正アクセスを防止するために必要な措置を講ずること」
ポリシーの最上位にこうしたことを掲げるのは問題ないが、ここまでで終わってしまい、下位規定が無い場合がある。
「必要な措置とは一体何ぞや」
当然そういう話になるわけで、部門ごとに解釈にずれがあったり、温度差がでたりする。
本来ポリシーとは、具体的で、誰が見ても明らかに理解でき、誤解の無いものでなければならない。
「OSのパスワードは2週間に1回変更し、10文字以上とすること」
「Eメールを外部に送信する際には、所定様式(電子メール送信伺い)に記入し、必ず上司の承認を得ること」
いくら具体的であっても、現実に実行できないポリシーであれば意味が無い。
誤解を恐れずに言えば、セキュリティと利便性は相反する。
なぜならば、一般ユーザーが便利に利用できる環境は、悪意を持った侵入者にも快適に利用できる環境だからである。
だからといって、締め付けすぎるのは良くない。
システムは道具である。道具が不便では商売上がったりである。
そもそも、セキュリティ対策というのは、ここまでやればOKというものでもない。
あるラインでの妥協は必要である。
コストをかけ、専用のツールやソフトを導入すれば、セキュリティと利便性を両立させることができるが、「偉い人」というのはなぜかここに金をかけたがらない傾向にある。
3.常に実態に即していること。即ち見直しが図られていること。
これが一番重要なことである。
何でもそうであるが、最初から完璧なものなど作れるはずも無い。
セキュリティポリシーも然りである。
組織の状況が変わることはありうるし、何より情報技術の進歩は凄まじい。
比較的短期間で常に見直しが図られることが重要なのである。
政令市クラスで、セキュリティポリシーを条例化してガチガチに固めてしまっている自治体もあるが、セキュリティーポリシーの何たるかが理解できていない。
作っただけで満足して失敗する典型といえよう。
このマークは当blogの記事部分に付けられたものです。
トラックバックURL
後期高齢者医療広域連合設立準備(2)−セキュリティポリシーのすりあわせ
電算担当者の当面の目標は、予算要求のための積算を行うことであろう。 これは広域連合システムと市町村システムのいずれにおいても共通することであるが、まず広域連合システムについて話を進めたい。 さて、 READ MORE ...
from 公務員叩きに物申す!−現職公務員の妄言 - 2006/09/20
COMMENTS