やって終わりにしない為の情報セキュリティ自己点検チェック活用方法

情報セキュリティチェックリストのイメージ画像

情報セキュリティ対策の一環である自己点検は、組織や企業が情報セキュリティ対策の効果を確認するために実施されるものです。1ヶ月に1度など日常的に行う場合や、年に1度は実施して、集計結果を経営層に報告し、自己点検結果から見えてくる自組織の弱点を改善するという、情報セキュリティ対策のPCDAサイクルを回すためのツールとしている組織も少なくないでしょう。

情報セキュリティ対策の確認だけではもったいない

企業や会社の情報管理部門にとっては情報セキュリティ対策の効果測定や来年度のセキュリティ研修の内容を検討する材料にするなど、有益な自己点検チェックですが、肝心の自己点検をやらされる組織内のユーザーにとっては、チェックシートに書かれた質問に対して、「はい」「いいえ」「該当なし」などを回答しただけでチェックシートを回収されるので、回答しただけ、で終わってしまいます。

私はこのやり方はユーザーにとってはやらされている感があるだけで、自己点検をしただけで終わりなっていることがもったいないと感じていました。

自己点検チェックを使ったセキュリティ教育

そこで私が考え出したのが、自己点検チェックを使ったセキュリティ教育です。ユーザーに自己点検を実施してもらい、全てのチェック項目が適切な回答のユーザーには教育の必要はないですが、不適切な回答を選択したユーザーには、そのチェック項目が必要な意味を教えることで、自発的に適切な行動を取ってもらえることを目的としています。形骸的な自己点検チェックを見直そうという熱意のある情報セキュリティ担当者の方の参考になればと思います。

用意するもの

これまで実施してきた自己点検チェックシートの他に教育用コンテンツが必要になります。教育用コンテンツに記載する内容は以下のとおりです。

  • 質問事項
  • リスクの詳細(不適切な回答をした場合に考えられるリスク)
  • リスクのある状態(このようなことをしていると不適切な回答になる例)
  • リスクへの対策(適切な行動の説明)

このような項目を質問事項ごとに記述した一覧表を自己点検チェックシートと一緒に配布して、自身の不適切な行動がもたらすリスクや改善案を教育します。回答は「はい」なら適切、「いいえ」なら不適切となるように設問しておき、「いいえ」を選んだ項目があれば、教育コンテンツの該当部分を読んでもらう方法と、まずは教育コンテンツを一読してから自己点検チェックを実施してもらう方法が考えられますが、組織のセキュリティレベルに応じて、これまで全ユーザー向け研修を行っていなければ、まず一読してから、何度も全ユーザー向け研修を実施しているなら、不適切な回答となる項目を見直してもらうやりかたでよいと思います。

教育コンテンツ記述例

具体的にどのような教育コンテンツになるのか、一例をお見せいたします。

質問

離席するときは、パソコンをロックし、重要書類を机上に放置しないようにしていますか。

リスクの詳細

重要書類の放置は、持ち去られたり、しかるべき担当者以外に見られたりするリスクがあります。また、パソコンも書類と同じく、開いている画面が重要情報である場合もあり、誰にでも操作できる状態で放置すれば、情報漏えいや、不正な操作が行われるリスクがあります。

リスクのある状態(例)

・パソコンをすぐにロックする方法を知らない。・自身の机になら重要書類を置いたまま離席することもある。・短時間の離席なら大丈夫と思っている。など。

リスクへの対策

離席する際には、重要書類を机の上に放置したままにせず、パソコンは、キーボードの左下にある「Windowsキー」(「Ctrlキー」と「Altキー」の間にある旗のようなマークのキー)とLキーを同時に押すことで、ロック(パスワードを入れないと元の画面に戻れない状態にする)します。

ユーザーの立場で考えないと情報セキュリティ事故は減らない

このように質問ごとに、なぜ情報管理部門はこんな質問をしているのか、どのような状況が不適切なのか、不適切な場合の対策、を一覧表にまとめて教えることにより、ユーザーに自己点検チェックをしただけで終わりにさせないことを狙うとともに、実施元の情報管理部門においても、なぜこの設問が必要であるかを再検討することにもなり、業務への目的意識もはっきりするし、経営層にも自己点検チェックの必要性と実施意義を強くアピールすることが出来ます。

情報セキュリティ担当者の方は「こんなことしても、誰も読まないし、質問もよく読まずに「はい」に○をして返してきてるよ」というご意見もあるでしょう。もちろんそういうユーザーもいると思います。しかし、ちゃんと読んで理解し、情報管理部門もいろいろと考えながら頑張ってると感じてくれ、情報セキュリティ対策に前向きに取り組んでもらえるようになるユーザーも必ずいますし、実際にそういう意見をもらっています。

一人でも多くのユーザーが情報セキュリティ対策に取り組んでくれるようになるなら、絶対に無駄なことではないと私は信じています。あれしろ、これしろ、というだけでは理解なんてしてもらえません。

ただ回答シートが配られ、忙しいのにチェックさせられるだけ。そう感じるユーザーは少なくありません。自己点検をやらされるユーザーの立場で考えることが出来なければ、情報管理部門が様々な情報セキュリティ対策を講じても、用意しただけ、通知しただけ、になり、毎年繰り返される情報セキュリティ事故は減らないのです。