策定後の運用が重要な
セキュリティポリシー
どの文献でも言われていることだが、セキュリティポリシーは作ったら終わりではない。むしろ、作ったあとに、ポリシーやスタンダード(ガイドライン)、プロシージャ(手順書)をきちんと運用することのほうが重要だ。重要であると同時に難しいことでもある。
きちんと運用するとは、関連する全スタッフが手順どおりに業務を進めていて、かつ手順が守られていることが確認できるということだ。標準による認証を取得する場合には何でもそうだが、セキュリティ関連の標準に基づいて認証されようと思ったら、手順の遵守状況を、基本的には証拠をもって明確に把握できていなければならない。
認証取得を目指さないとしても、セキュリティポリシーの導入によってセキュリティレベルを向上させたいのであれば、関連する全スタッフが一人残らず手順どおりに進めていなければ意味がない。一人でも違反したり怠ったりしたら、セキュリティのレベルはその人のレベルに下がってしまう。セキュリティは最も弱いところから破られるのが常だ。せっかく多大なパワーを割いて作ったルール体系を、どうやったら効果的に運用できるかを考えてみよう。
ポリシーの効果的な運用のために
罰則の導入を検討する
ポリシーを最も効果的に浸透させる方法は、罰則を設けることだろう。それも実効性を伴って、違反者の痛みになるような罰則でなければならない。
この場合の罰則には、人事系罰則や経済的罰則というのが考えられる。人事系罰則というのは、ご存じのところだと思うが「懲戒免職」や「降格」「減給」「自宅謹慎」などを含む、昔ながらの罰則だ。組織ではこの仕打ちは大きな打撃である。したがって効果は抜群だろう。人事系罰則の難点は、ルールを決める手続きが煩雑になりがちな点だ。
人事系罰則を決めるには、労働組合と交渉しなければならない。そして、旧来の人事組織とも折衝しなければならない。もちろん規則を変えるプロセスが煩雑でない組織もあるが、古くから存在する組織、部署との間で、既存のルールの改造について新参のセキュリティ関係者が折衝するのである。なかなか事が進まないという傾向はあるだろう。
また、もう1つ重大な難点は、罰の軽重とポリシー違反行為とをどうやって結びつけるのか、未経験の領域なので判断の基準がないという点だ。具体的に言えば、「ネットワークに重大な影響を及ぼす設定ミスをやらかしてしまい、結果として2日間も一部業務を停止させてしまった」という事例は、どの程度の減給にあたるものなのか、それとも降格に値するものなのかという問題が生じる。また、「パスワードを盗まれてしまい、結果として顧客情報を21万件漏えいさせてしまった」という事例は、懲戒免職になるのか、それとも懲戒・訓告で済ませることができるのか、といった判断もしなければならなくなる。実例も少ないだけに、どういう結びつけ方にすればよいのかは白紙から考えるくらいの覚悟が必要だろう。
また、ネットワークに重大な影響を及ぼす設定ミスが発生した場合に、それが故意なのか過失なのかを判断する明確な基準がないことも状況を複雑にする。自分の意思で顧客情報を名簿業者に売り飛ばしていたのであれば、懲戒免職されてもしかたがないだろうが、いつもは32文字で英数字記号でランダムなパスワードにしていたユーザーが、たまたまその日だけはメンテナンス上やむをえない理由で簡単なパスワードを設定しており、結果として顧客情報が漏えいしたという場合、前者と同じく懲戒免職に当たるのだろうか。それとも、やむをえない理由があった、ということで訓告になるのだろうか。結果として盗まれたものが同じでそれによる影響・被害も同じだったとしても、処罰に差をつけるのだろうか。
ただ、組織に与える被害と、故意に行われた行為なのかどうかという部分は、既存の罰則でもすでに検討されているはずだ。したがって、やはり最大の難点は罰則の軽重とセキュリティ違反の対応づけになる。しかし、難点を補う以上の効果は期待できる(もちろん筆者も一企業の社員であり、あまり効果抜群な人事系罰則が出てくるとイヤな感じがするものだ)。
情報資産の機密度をランク付けし
流出行為のレベルに応じて罰則を検討する
続いて、結びつけ方についてもう少し考えてみよう。セキュリティポリシーを作るときにはリスク分析を行うが、そこで必ず実施する作業に「情報資産の洗い出しと価値づけ」がある(詳細は後述)。組織が抱える情報資産を列挙し、その資産がなくなったら、漏えいしたら、破壊されたら、改ざんされたら、などの視点で、業務や組織全体に与える影響度を想定する作業である。その作業によって、例えば「顧客情報は業務計画情報よりも価値がある」「人事情報は経営計画情報よりも価値がない」といったことがわかる。資産にプライオリティを付けることができるのだ。
こうして明確化したプライオリティを「極秘」「社外秘」「公開」という3段階に設定し、その3ランクに「故意による」「故意ではない」というレベルを付けてみよう。この区分に基づいて罰則を考えるとわかりやすいのではないだろうか。
「極秘」「故意による」
「極秘」「故意ではない」
「社外秘」「故意による」
「社外秘」「故意ではない」
「一般公開」「故意による」
「一般公開」「故意ではない」
あるいは、故意にその情報の価値を損なうようなことをした場合には、内容にかかわらずすべて「懲戒免職」としてもよいかもしれない。物理的資産に置き換えてみるとわかりやすいが、これは「故意に」社用車を壊したり売り払ったりするのと同じ意味である。こう考えると、企業や組織の文化にもよるが、「故意」に行う反組織的行為、反セキュリティ行為はすべて免職の対象とし、情報資産のプライオリティと結びつけるのはあくまで「故意ではない」場合のみ、という方針のほうが違和感がないかもしれない。
一方、経済的罰則というのは罰金のことだ。「減俸」「減給」の一種とも言えるが、例えば「重大な違反は100万円以下の罰金」などと設定するわけだ。このやり方は日本ではほとんど見られないが、米国などでは取り入れている例もある。
経済的罰則は組織・企業にとっても、スタッフにとってもなじみにくいものかもしれない。個人の支払い能力に相応の罰金は組織にとっては割に合わないし、実際に組織が補償してもらいたい額ともなると個人がとても支払えるものではないからだ。経済的罰則も、あくまで人事系罰則の一部として考えたほうがよいだろう。
罰則を考えるのは難しい。だが、罰則が最も効果的なポリシー推進策であることは疑いない。スタッフの立場から言うと罰則はないほうがよいわけだが、論理的に明快な罰則であれば従うはずだ。罰則はポリシーを運用するときにセットで導入すべきだろう。
|