セキュリティポリシーの作成後、業務に則したポリシーの適切な運用を実施しなければなりません。セキュリティポリシーは、ある時点で完結してしまうー時的なプロジェクトではなく、経理やマーケテイングのような組織として継続して行う活動であり、その運用lこは定期的かつ定量的な監査が必須になります。
定期的かつ量的なセキュリティ監査が必要
セキュリティの監査では、まずポリシーおよびそのほかのガイドライン、規則、規定についての遵守性評価を行います。環境の変化にポリシー自体が適応しているのかに重点を置き、ポリシーがシステムの目的・目標の達成に寄与しているかをチェックします。対コスト効果についても評価する必要があります。
各種セキュリティチェックサービスの導入も検討
常に進化しつづけるセキュリティの脅威に対応するには、セキュリティ専門のエンジニアが社内ネットワークを運用し、村処する必要があります。しかし、そのために新たに人材を配置するのは難しいことです。そこで最近、多くのセキュリティベンダーから提供されている「セキュリティチェックサービス」を利用するという選択肢も検討すべきです。
このサービスは外部から提供されるため、客観的かつ定量的にセキュリティ強度を評価することができ、希望すれば専門家による各種対処作業を受けられるといったメリットもあります。代表的なセキュリティチェックサービスは、以下の通りです。
- セキュリティ検査サービスるサービスです。ISS(市販ツール)や独自のツールを使い、外部からあるいは内部の企業ネットワークの脆弱性について検査します0 実際の検査では、過去からの膨大なセキュリティホールのデータベースをもとに、ひとつずつチェックします。
- キュリティ監視サービス社内ネットワークがインターネットなどを介して外部から不正なアクセスを受けていないかを24時間チェックし、管理者への報告やリアルタイムでセッションの切断を行うサービスです。ファイアウォールやサーバーなどのアクセスログを定期的に収集し、アクセス状況の統計や不正アクセスの状況を報告するものもあります。
- セキュリティ診断サービス社内ネットワークにおけるシステムの運用管理やウイルス村策、アクセス制御、内部不正村策など、各種セキュリティホールとなり得る脆弱性について、セキュリティサービスベンダーが独自に作成したチェックシートを基に聞き取り調査あるいはアンケート調査により、診断を受けるサービスです。このサービスでは、セキュリティポリシーの遵守状況やセキュリティ製品の運用状況などにっいても、客観的に調査・診断できます。
セキュリティ教育と啓蒙活動
せっかく立派なセキュリティポリシーを作り上げても、全従業員に浸透していなければ意味がありません。そのためにも、従業員に対するセキュリティ教育と啓蒙活動が必要です。残念なことに、多くの企業では、業績や財務上の目標は毎日、毎月または四半期ごとにその成果を問われるのに対し、ポリシーや各種規定・規則に従う姿勢が問われる機会は、それよりはるかに少ないのが実情です。
そのため、定期的に行われる「研修プログラム」を導入するのが一番効果的です。この研修プログラムでは、「ウイルス感染の防止と対策」「電子メールの正しい使い方」「インターネット利用規定」「パスワードの正しい設定とネットワークの利用方法」「個人情報の保護」「企業機密の取り扱い」「公開情報と非公開情報」など、セキュリティに関する基本的な知識の習得のほかにも、企業の従業員が日常遭遇しやすい具体的な事例を提示し、自分ならどのような行動をするのかをディスカッションします。
この研修の目的は、一方的に正解を提示して盲目的な同意を得ることではなく、参加者の思考を刺激し、セキュリティの何たるかに目を向けるきっかけにすることです。そして、その延長線上にセキュリティポリシーがあることを意識させるのです。すべては教育から始まります0 社員数育がない情報セキュリティはありえません
コメント