情報セキュリティ対策において、最も大事なのは情報を守ることであって、ルールを守ることだけが情報セキュリティ対策ではありません。
多くの情報を預かる組織や企業では、情報セキュリティポリシーや個人情報保護方針などの内規を設けていますが、その内規を遵守しているだけで情報が守られる保障はないのが実情です。
日々新たなセキュリティ脅威が生み出される現在、取り扱う情報の重要性と考えられるリスクを把握したうえで、最も適した情報セキュリティ対策を講じていくことが重要です。
しかし、情報は守るだけではなく、リスクをコントロールしながら様々なサービスに十分に活用していくことも求められます。
内規を守るのは言われた通りやるだけで簡単だとしても、セキュリティ教育なしにリスクをコントロールする感覚を身に付けることは簡単ではありません。
日常生活の中のリスクコントロール
情報セキュリティ対策のリスクコントロールと聞くと、難しそうでアレルギー反応を起こす人もいます。
でも、実は我々は日常生活の中で自然とリスクコントロールを身に付けていたり、教えられていたりします。
比較的実践している人が多いと思われる日常生活のなかのリスクコントロールの一例を挙げてみました。
情報セキュリティ担当者はリスクコントロールを説明する時の参考に、個人の方はスマホやPCを使うときの自身の行動を見直す参考として読んでみてください。
いきなり玄関ドアを開けて応対しない
家にいて玄関チャイムが鳴らされたとき、相手が誰かも分からないのにいきなり玄関ドアを開けて応対する人は少ないでしょう。
家の中に居ても玄関には鍵をかけておく。
訪問者はドアスコープで確認してから玄関を開ける。
これらは家に不審者を侵入させてはいけない、しかし訪問者を一切相手にしないわけにもいかないというリスクコントロールです。
情報セキュリティにおいては、受信したメールとメールに添付されたファイルをいきなり開かず、送信者やメール内容を十分に確認してから開くというリスクコントロールと同様です。
地震で家具が倒れても下敷きにならない場所で寝る
これまでに起こった震災で、タンスなど大きな家具の下敷きになって被害を受けるリスクがあることが分かってきました。
このリスクを回避するために、家具が倒れても下敷きにならない場所で寝るようにする事を多くの人は知っていると思います。
地震は防ぐ事が出来ない、いつか必ず地震は起こる。
でも危険な家具を撤去することも、眠らないことも出来ないという状況でのリスクコントロールです。
情報セキュリティにおいても同様のリスクコントロールがあります。
いつか必ずインターネットを通じたサイバー攻撃を受ける、サイバー攻撃を100%防ぐことは出来ない。
でも、インターネットを全く利用しないということも出来ないので、インターネットに接続されたパソコンには重要な情報を保存しない、というリスクコントロールです。
試験会場には複数のちゃんと使える筆記用具を持っていく
これはもう誰もが当たり前に、言われなくてもやっていることでしょう。
試験の時に筆記用具が使えなくなるかもしれない、試験の最中に床に落として拾えないかもしれない、というリスクに対して予備の「ちゃんと使える筆記用具」を用意しておく。
しかし用意する数は使う筆記用具の性能により各自が適した数を用意するというリスクコントロールをしています。
情報セキュリティにおいては、扱う情報をバックアップする必要があるが、扱う情報や機器の性能に応じて、バックアップの頻度やバックアップ先を選定し、「ちゃんと復元出来る事も確認しておく」というリスクコントロールと同様です。
経験し事例を知り必要なリスクコントロールを身に付けていく
このような日常生活におけるリスクコントロールは、子供の頃から親に教え込まれたり、自分で危ない目にあって学んだりしていきます。
誰もが生まれながらにリスクコントロールの能力を持ち合わせてはいません。
それは情報セキュリティ対策においても同様であり、内規はあくまでもベストプラクティスです。
扱う情報、扱い方が千差万別である以上、必ずしも一意的に内規を適用出来るものではなく、起こりうるリスクを洗い出し、必要な対策を積み上げていくリスクコントロールの感覚を養っていく必要があります。
そのためには、私たち情報管理部門が根気良く情報セキュリティ教育を行い、最近の脅威とリスク、その対策例を周知していくしかありません。