| Y部長: |
先日頼んでおいた教材の作成の件だが,検討状況を報告してくれないか。
|
| Z主任: |
はい。まず,教材の構成は,当社の対策基準の項目に沿って整理を進めています。まだ,必要な項目すべてを網羅してはおりませんが,今日までの検討結果を報告いたします。教材の冒頭では,社員が当社の情報セキュリティポリシを熟読し,すべての内容を理解することが重要であることを明記します。
|
| Y部長: |
なるほど。情報セキュリティを考える上で,一番大切な文書だからな。ところで,当社の対策基準の章立ては,どうなっていたかね。
|
| Z主任: |
はい。図2のとおりです。
図2 対策基準の章立て
(1) 組織及び体制
(2) 情報の分類と管理
(3) 物理的セキュリティ
(4) 人的セキュリティ
(5) 技術的セキュリティ
(6) 運用
(7) 法令遵守
(8) ポリシ[ a ]への対処
(9) 評価と見直し
|
|
| Y部長: |
いろいろな項目があるが,どこから検討を開始したらいいだろうか。
|
| Z主任: |
はい。この対策基準は,管理する側の視点で構成されていますので,各項目の中から利用者が守るべき事項を抜き出して整理し直すつもりです。その中でも,新入社員が仕事を進める上で一番身近な問題である情報システムの利用に関する部分から始めようと思います。[ b ]やWebといった,最も代表的なインターネットサービスの正しい使い方を説明する予定です。また,当社の対策基準で,“社員は,[ b ]やWebの利用に当たっての脅威を十分に理解すること”と規定されていますので,そうした脅威についても説明します。もう少し具体的に述べますと,[ b ]を受け取ったときに,そこに書いてある送信者の情報が[ c ]され,なりすましが行われていないかどうかを確認すること,[ d ]していないかどうかを専用のソフトウェアを用いて確認すること,[ b ]を社外に送るときには,正しい受取人に届くように必ず[ e ]を確認すること,などを推奨するつもりです。さらに,会社にとって重要な情報を扱う場合には,配送経路上での[ c ]を検出したり,[ f ]を防止したりするために,[ g ]技術の利用を検討することも奨励します。
|
| Y部長: |
普段何気なく使っている[ b ]にも様々な脅威が存在するということだな。ところで,話は変わるが,社員がパスワードを管理する上で注意すべき事項を説明する必要はないだろうか。当社の対策基準では,(4)章で適切なパスワード管理を社員に義務付け,(5)章でパスワードに関する技術的な要求事項を述べるなど,分散していてとても分かりにくい。
|
| Z主任: |
そうですね。大事なことを忘れていました。利用者の立場に立って項目を整理します。まず,簡単に見破られるようなパスワードを使わないこと,利用開始時に設定された初期パスワードを直ちに変更すること,パスワードを定期的に変更すること,を追加します。本来は,このような固定式のパスワードではなく,[ h ]パスワードを利用する方が情報セキュリティ対策上は望ましいのですが,固定式に比べて費用がかさむので,今後の検討課題とします。それと,パスワードといわれて思い出したのですが,〔1〕パソコンを使用中に会議などで席をはずす場合に注意すべきこととして,ログオフすることがありました。また,不在時に電源を入れていない自分のパソコンを他人に勝手に起動されないように注意すべきこととして,パソコンの電源投入時に必要な起動用のパスワードを設定することもありました。これらも追加しておきます。さらに,単に利用者に義務を課すだけでは操作が煩雑になり,実効性を欠く可能性があるので,利用者の負担を減らす工夫も盛り込もうと思います。
|
| Y部長: |
ところで,対策基準の運用の章で,緊急時の対応に関する原則が規定されていたはずだな。以前から気になっていたのだが,万が一,情報セキュリティに関連する事故が発生した場合に,社員がどのような行動をとるべきなのかを知らせておいた方がよいのではないか。
|
| Z主任: |
おっしやるとおりです。ただし,一口にセキュリティ事故といっても,いろいろな場面がありますので,何通りかに分けて説明しようと考えています。
|
| Y部長: |
どのように分けるのかね。
|
| Z主任: |
はい。まず,情報セキュリティ管理者にどのような現象を報告すべきかということと,その報告手段について詳しく述べるつもりです。次に,もしもその現象が,明らかなセキュリティ事故であった場合にとるべき行動,ソフトウェアの予期しない動作であった場合にとるべき行動,まだ事故は発生していないが事故を起こす原因になるぜい弱性を発見した場合にとるべき行動,に分けて説明します。特に注意しなければならないのは,ぜい弱性を発見した場合に,自分でそれを確認しようとしたり,解決しようとしたりしないことです。もし,発見者がそのような行動をとると,場合によっては,不正な使い方をしていると見なされてしまう可能性があるからです。
|
| Y部長: |
確かにそうだな。社員を守るためには,そのような考え方も重要だろう。
|
| Z主任: |
はい。もう一つ,ソフトウェアが予期しない動作をした場合にも,自分だけで解決しようとしないことが重要です。それというのも,[ d ]したことが原因で予期しない動作を起こした場合に,〔2〕経験のない社員が原因の除去を行おうとすると,かえってシステムを破壊したりして被害を拡大する可能性があるからです。
|
| Y部長: |
なるほど。こうして考えてみると,ただ単に規則を守るようにと教育するだけではなく,身の回りにどのような脅威が存在するのかについて,正しい知識をもってもらうことも重要なのだな。
|
| Z主任: |
はい。そうです。
|
| Y部長: |
では,今日のところはここまでとしよう。この調子で,残りの部分も頑張ってくれたまえ。
|