セキュリティ対策のための意識作り
2023.06.01 | 調査コラム
1. はじめに
以前のコラム「アズテックの情報セキュリティ体制」では会社のセキュリティ体制について紹介をしました。
アズテックでは、ISO27001(ISMS)を取得しており、私は情報セキュリティ委員会で社内のセキュリティ対策の実施・運用、社内教育を担当しています。
調査業務を請け負うにあたっては、お客様から機密度の高い情報をお預かりする事になるため、万が一にも情報の漏洩や紛失が起こることは許させません。会社としてもセキュリティ対策は最重要課題であると認識をしており、そのための、日頃からのセキュリティ対策は非常に大切です。
私から見ても社内ではセキュリティに対する取組が通常よりも高いレベルで行われていると感じています。とはいえ、うっかりなども含めてルールが守られなければ意味がありません。ルールが守られるためには従業員に高いセキュリティ意識を持ってもらうことが重要になってきますが、単に「セキュリティ教育」となると内容が堅くなりがちです。敷居を高くせず、従業員にセキュリティ意識を持ってもらうための取組をご紹介させていただきます。
2. 目標
2012年以降、毎年1つずつ全社のセキュリティ目標を設定しています。
過去、情報セキュリティ委員会で設定した全社目標が完全には浸透せず、期末に実施する全社アンケートでは「今年の目標を知らなかった」との回答が一定数ある状況でした。全社的には「意識していた」との回答が約70%程度と比較的高い状態ではありましたが、社内で意識に差がある状況です。
そこで、2つの取組を行い、改善を試みました。
1つ目は「部署ごとに自分たちで目標を設定して1年間運用する」という取組です。自分たちで立てた目標なので、当然「今年の目標を知らなかった」との回答は0%になりました。こちらの取組は2回(2年間)実施しました。
2つ目は、「四半期毎に各部署単位で振り返りを実施する」という取組です。
・日頃の業務で目標を意識できているか
・現時点での効果、問題点、改善点 等
以上の2点を振り返り項目として、特別な場を設けるのではなく、日常の定例会議の中で短い時間で実施をするようにしました。こちらの取組は現在も継続して実施しています。
現在では、再び部署ごとの目標設定から全社目標に戻しましたが、直近の全社アンケートで「今年の目標を知らなかった」との回答はゼロのままで、また、「意識していた」との回答も約90%まで上がりました。
3. 社内教育
3.1 定期教育
定期的な全社員向けの教育を行うにあたっては「高度な内容の教育よりも当たり前のことを繰り返し行う」ことが重要だと考えています。教育内容が多すぎたり、また内容が難しすぎては時間的な負担になってしまうだけではなく、やらされている感が強くなって効果も薄くなってしまいます。また、なぜ「そのルールがあるのか」を理解しないままだと教育の意味がありません。
従業員の本来の業務は「セキュリティルールを守ること」ではありません。ルールの羅列を覚えてもらうのではなく、「どういうことをすると何が危険なのか」という意識を持ってもらうような内容で、かつ、本来の業務の負担にならないような教育を行っています。
3.2 教育の内容
具体的な教育方法として、年1、2回テーマを絞った学習資料を作成し、従業員に学習してもらい、最後に確認テストを実施しています。
例えば、2022年度は以下のテーマついて教育を行いました。
・紙資料の取扱について
・Web会議時の画面共有の注意事項
・ランサムウェア
・操作ログの取得について
日常業務で関わりが深い紙資料の取扱やWeb会議に関するものと、近年問題となっているランサムウェア(どういうケースで被害が発生するのか、またどのようなことになるのか)、また牽制としての効果も期待して日常の操作ログ取得と保管状況について、といった内容となっています。
いずれのテーマも、過去に教育を行ったことがあるテーマとなっており、日常業務の意識付けとなるよう繰り返し教育を行っています。
3.3 効果測定
教育の効果測定として前述の確認テストを実施しています。確認テストは学習資料を読めば簡単に正解できるレベルのものですが、満点合格を必須としており、不合格の場合は合格するまで再テストを行っています。
期末に実施する全社アンケートでも、直近の「定期学習を受けて情報セキュリティに関しての意識はいかがですか?」との設問で約80%が「意識は高い・少し高い」との回答をしており、「低い・少し低い」との回答は0%でした。実施している教育が、受ける側からも「セキュリティ意識を高くもつ」ことに対して効果はあると感じてもらえるような結果となっています。
4. 内部監査
セキュリティに関して、最低年1回の内部監査を実施しています。
4.1 内部監査人の選定
内部監査を行う監査人は、従業員の中から3~4年ごとに交代で任命されています。これは、「社内で監査のプロを育てる」ということよりも、「監査人を経験することで自らがセキュリティに対する意識を高める」ことを目的としているためです。
監査を行うにあたりルールの理解が必要になることは当然ですが、実際に自分がチェックする側になることで新たな問題点に気づけたり、また他の人の良い取組に気づくこともできます。毎回、内部監査の結果として「ルール違反ではないが改善してはどうか」といった提案が3~4件ほど挙がります。自らセキュリティについて考えるとても良いきっかけとなっています。
4.2 内部監査の方法
内部監査人の任命後、まず始めに「監査の考え方について」の監査人研修を行っています。監査人研修で主に伝えていることは、「監査をする自分自身が確認して納得することが大事」ということです。
監査の方法は、予め監査人が作成したチェックリストに従って、気になることを面談形式で確認していく方法としています。ここで、例えばメールの送信ルールについて確認を行うのであれば、
・「ルールを守ってメールを送信していますか?」 → 「はい」
・「メール送信時のルールは何ですか?」 → 「〇〇のルールがあります」
といった口頭でのやりとりによる確認ではなく、
・「いつもどのようにメールを送信しているのか、実際にやって見せてください。」 → 実際の操作を見て確認する
という流れで実際の行動を確認することを大事にしています。実際に確認をすることで、本当に正しく運用がされているかの確認もできると共に、細かな気づきを得ることもできます。このような確認方法を行っていることもあり、前述のように監査人から毎回改善提案が出てくるような監査を実施できています。
5. まとめ
従業員の間では、どうしても意識の高い人、低い人という差は生まれてしまいます。そんな中でも、いかに全体の底上げができるか、日頃からの取組をもとに紹介させていただきました。
究極論としては、「全員がとても高いセキュリティ意識を持っていて、セキュリティルールなんて存在しなくても何も問題無い」という状態が理想ですが、現実として不可能です。
とは言え、きちんとしたルールを構築したうえで、従業員が日頃から意識をしやすい環境であれば、事故のリスクは格段に低減するはずです。目標の定期的な振り返りや効果測定によって確認の場の数を増やすこと、教育によってルールの意味や理解を深めることで、そうした環境づくりに繋がりやすくなります。また、内部監査人のように従業員自体を制度運用側に巻き込んでしまうことで、更なる効果が期待できるでしょう。
アズテックでは今回ご紹介したような内容をはじめとして、セキュリティ対策は最重要課題であると認識をして日頃から取組を行っています。今後も更なる取組を継続して、より高いセキュリティ環境の構築を行っていきます。
情報セキュリティ委員会 久光
【参考】
・アズテックの情報セキュリティ体制
https://aztec.co.jp/news/columns/418