これまで、情報セキュリティマネジメントシステム(ISMS)をPDCAサイクルに従って一通り解説しました。企業などの組織が実際に情報セキュリティ対策を行う上でのプロセスについては大まかにご理解いただけたかと思います。
今度は、実際に組織が情報セキュリティ対策を行う上で、具体的にどの様な取り組みを行えばよいのかという点について紹介していきます。
具体的な情報セキュリティ対策の方法としては、「人的な情報セキュリティ対策」と「技術的な情報セキュリティ対策」、「物理的な情報セキュリティ対策」の3つの対策方法が存在します。今回は、人的な情報セキュリティ対策について詳しく解説していきます。
不正のメガニズムに沿って対策を検討する
人的な情報セキュリティ対策は、組織内において情報システムを扱う従業員などに対して情報セキュリティを維持するために、ルールを規定し教育を行い、一人一人に対して情報セキュリティの意識を高くしていくことです。
組織において、人的な情報セキュリティ対策を行う上で重要なのは、従業員一人一人がルールを厳守することで、統一した規定に基いて、運用をおこなうことに加え、内部不正対策を視野に策定していくことが重要です。
米国の犯罪学者であるD.R.クレッシーが提唱している不正のトライアングル理論では、「機会」と「動機」、「正当化」の3要素が揃った時点で不正が行われるとしており、この考えに基いて手法を検討していく必要があります。
まず、「機会」を作らない様にするために、「物理的にやりにくい環境を作る」、「ひと目に付きやすい様にする」ことに加え、「動機」を作らないためには、「不正を行っても割に合わない」、「不正を行う気持ちにさせない」こと、最後に「正当化」しないためには、「言い訳をさせない」ことを念頭に対策を行います。
不正のメガニズムに沿った対策を実施する
内部不正対策として前章で紹介した3要素をしっかりとカバーするためには、以下のような対策を行うことが重要です。
個人の記録媒体の持ち込みを制限する
組織内で使う記録媒体は、個人で持ち込んだ物の使用を制限すると共に、組織内で規定した記録媒体を使用し、外部に持ち出したり、外部から持ち出す場合は申請を行うなど、記録媒体を誰がどこで使っているのかを常に明確にしておきます。また、持ち出す際には暗号化を行うなど、紛失時の情報漏洩リスクに対処します。
エビデンスを残し常に管理する
情報システムへのアクセス履歴や操作履歴などをログとして残し、定期的にそのログを確認することで、常に監視されているという意識付けを行います。ただし、ログの管理がどの様な手法で行われているのかといった具体的な手法は知らせないことが重要です。
利用者のアクセス権限を付与する
情報システムを利用する従業員に対して、従業員一人一人が必要な情報にいつでもアクセスできるようにすることが重要です。組織内では、従業員の役割は個々で異なっていることから、アクセスできる情報は必要な情報に限定し、その他の情報にはアクセス出来ないようにします。
相互に監視する
単独で作業を行うと、どうしても不正を行う機会につながってしまいますので、できるだけ単独での作業を制限を行います。特に休日や深夜などで作業が発生した場合、人数が少なくなってしまうことから不正が発生しやすいといえます。
適正な労働環境を構築する
組織内において労働環境が悪い、コミュニケーションが不十分な場合、従業員のストレスがたまってしまうことで、内部不正が発生するリスクが高まります。そのため、従業員一人一人の労働時間を常に管理し、残業が多くないか、休みがちになっていないかを確認するとともに、定期的なヒアリングなどを実施することで、その予兆を未然に防ぐことが重要です。
雇用終了時に機密保持契約を締結
雇用終了時には、必要に応じて秘密保持契約を課す誓約書の提出を求めるなど、雇用終了時における情報漏洩を未然に防ぎます。
雇用終了してから、退職者が前職の情報システムにアクセスし機密情報を盗んでいたという事例が近年多く発生しており、金銭的な損失が拡大するリスクもあることから、雇用契約が終了した時点で、退職者のIDや権限を速やかに削除することが重要です。
全従業員に対して情報セキュリティ教育を実施する
組織内で情報システムを使用する従業員に対して、策定した情報セキュリティポリシなどに基いて、情報セキュリティ教育を実施し情報セキュリティに関する知識を身につけ、意識づけを行い、意識を高めてもらうことが重要です。
社員だけではなく、取締役や派遣社員、パート、アルバイトも含めて教育を実施する必要があります。教育は資料の配布やメディアなどを通じて行う他、万が一に備えて、定期的に訓練を実施して、個々の従業員に対して対処方法を取得してもらうことも重要です。