みんとチャンネル

「みんとチャンネル」は、ミニュチュアダンクスの「みんと」がお送りするセキュリティ 情報の備忘録チャンネルです。

セキュリティ備忘録

【超入門】「セキュリティ ルールが無い?ならなんとかしよう」ポリシー①

投稿日:

就業規則で会社のルールは決まっていても「セキュリティ に関するルールが決まっていない」というケースもあるかと思います。

できない理由

これまでできなかった理由はいくつかあると思いますので、その理由に対しての対策を検討していきましょう。

  • 率先する人がいない。
  • 予算がない。
  • 知らなかった。
  • 知識のある人がいない。

「率先する人がいない」ケース

往々にして「言い出した人がやらされる」、「余計な仕事を増やしたくない」という理由で「やらなければならない」と分かっていても誰も声を上げない風潮は日本社会には根強くあります。

情報セキュリティが進まない訳

情報セキュリティ は、IT技術を前提とする業務にとっては必須のものですが、IT技術を前提としない業務において、後からIT化がなされた場合、情報セキュリティは軽視しがちになります。それ故に情報セキュリティに関するルールやポリシーの作成などの優先順位が落とされがちになり、場合によっては無視してIT技術の導入が進められるケースも少なくありませんでした。

「率先する人がいない」ケースを打開するには

このケースの責任はほとんどのケースで経営者にあります。

そもそもは経営者が情報セキュリティ対策については率先してやるべきことなのです。それができていないのが大問題であり、経営者自身の考え方を大きく改める必要があります。

とは言え、経営者もITや情報セキュリティについてあまり詳しくない場合、認識が甘くなる傾向にありますので、経営者の周辺が認識を正して行く必要があります。その際に、日頃から経営者に対して意見が言える職場環境を作っておく必要があり、それは情報セキュリティにかかわらず、ビジネス全般について言えることです。

1stステップ 「経営者の理解を得る」

貴方が経営者でない場合、先ずはあなた自身が率先して動く必要があります。そのためには経営者と話し合いを行い情報セキュリティの必要性を理解してもらう必要があります。

※【経営者に情報セキュリティの必要性を理解してもらう方法】は別の機会に記載します。

2ndステップ「推進のリーダーを決める」

経営者に一定の理解を得られた場合、情報セキュリティ対策を推進するリーダーを決定してください。本来は経営者自身が情報セキュリティ対策の推進する立場ですが、経営者自身がリーダー役を行うことができない場合は、経営者がリーダーを専任します。情報セキュリティ対策を行おうと思われたあなた自身、もしくはあなたの協力者をリーダーとするのが良いかもしれません。経営者に協力して頂き、経営者の意向としてリーダーの指揮の元、情報セキュリティ対策を推進します。 その際に、経営者からリーダーが情報セキュリティ対策の責任者であることを組織内に周知して頂きます。

各部門の部門長からは情報セキュリティ対策について否定的な意見が出る可能性もありますが、その際は経営者同様に情報セキュリティ必要性を理解してもらいます。

※経営者と同様に情報セキュリティについて理解いただけない場合は、別の機会に記載する【経営者に情報セキュリティの必要性を理解してもらう方法】を参考にして、理解いただけるように説得してください。

「率先する人がいない」ケースのまとめ

結局のところ誰かがリーダーにならなくてはなりません。現状で情報セキュリティ対策が進んでいないということは、経営者は自ら進んでリーダー役を引き受けることは無いと思われます。

「やらなくてはならない」と感じたあなたがキーマン

「やらなくてはならないと」感じたあなたがキーマンです。その気持ちを率直に経営者に伝えてみましょう。ここであなたが動かなければ、現状維持のまま、これまでとなんら変わることはありません。必ずしもあなた自身がリーダーになり必要はありませんが、以下の通り推進してください。

  • 経営者の啓蒙
  • リーダーの選出
  • 経営者から従業員へのリーダーの周知(情報セキュリティ管理責任者の任命)

-セキュリティ備忘録

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

総務省「テレワークセキュリティガイドライン 第4版」からはじめます

「テレワークにおける情報セキュリティ対策の考え方」について テレワークについての考え方については、一通りの記事が完成してから補完します。現時点では解説しません。当面はガイドラインを直接読んでください。 …

テレワーク環境のパターンの分類方法(続き)

気になったこと テレワーク環境のパターンを見ていて気がついたのですが、このパターンでは網羅されないパターンがありますね。会社からPCが供与されないにも関わらず、セキュアなリモート環境が用意されないケー …

テレワーク環境のパターンの分類方法(続き)−2

テレワーク環境パターン分類方法に足らないケース 足らないケースとして、以下のパターンが考えられます。 ・業務に私用PCを使用し、インターネットに繋がないケース(※会社PCの場合はケース⑥へ) ・業務に …

「セキュリティ 超入門」について

「セキュリティ 超入門」では、担当者がいない、予算がない等の理由でセキュリティ対策ができていない企業に対して、実施できるセキュリティ 対策をご紹介する。