相談を受けることとして、
なにからすればよいかということがあげられます。セキュリティと一言でいっても、範囲が幅広く感じられるので、
どこから手を付けてよいかわからなくなってしまいがちです。
王道的な答えとしては、
まずは、責任者を決めましょう。
セキュリティ委員会などの体制をつくりましょう。
現状の調査、リスクアセスメントをしましょう。
セキュリティポリシーをつくりましょう。
といったところです。
幅広くはあっても、それらを網羅するには、
結局、責任者を決め、役割分担をして、
すべてのことを文書(セキュリティポリシー)に
記述するしかありません。
少し難解なプロジェクトであったり、
関係者が複数にになるときには、
セキュリティでなくても同じやり方をとります。
セキュリティというような、今まで取り組んでいなかったり、
やりにくさを感じるテーマであっても、
同じことなのです。
さて、ここでは、セキュリティを網羅するだけでなく、
その土台、根っこにあるものを考えてみます。
セキュリティ対策は一時しのぎでは終わりません。
新しい人が入社したり、
新規事業がスタートしたり、
事業部体制がかわったり、
情報システムが変わったりで、
変化がおきます。
これらの変化は、情報漏えいリスクにつながっています。
本来ルールは守り続けなければなりませんが、
だんだん守られなくなっていくということもあります。
外部要因はさらに変化が激しく、
例えば、スマホの普及や、SNSの普及一つとってみても、
企業側からすると大きな変化であり、
セキュリティ上の脅威になっています。
一つ一つの変化に都度都度対応していかないといけませんが、
過剰反応してしまうのもよくないです。
変化のたびに、右往左往するものではありません。
セキュリティ対策において常に変わらずに
もっておくべき軸、土台があれば、変化に動じることは
ありません。
その土台とは、
PDCAと整理整頓です。
様々な変化がおきても、それに変わらず対処していくのは
PDCAです。
目の前で起きたことだけに対処するのでなく、
セキュリティに関するプランを立てて、
それを実行し、できているかをチェックし、
外部環境や内部の状況に応じて改善をしていきます。
この土台があれば、セキュリティ対策において、
事故がおきないとはいいませんが、
世間水準から見ても大外しをせずに、
対処しつづけることができることでしょう。
もう一つ、目に見えない情報というものを扱う上で、
整理整頓は常に重要です。
ほっておくと、紙資料や、ファイルサーバ内のデータは
散らかり放題となります。
散らかった状態では、情報を使うべき人が使いづらくなり、
結果、コピーが氾濫、さらに混乱、どれが最新の情報であるか
わからなくなり、そういう状況は不正をした内部者にとっては、
うってつけの環境といえます。
情報の整理整頓は、一見、情報漏えいやセキュリティの話と無縁に
思えますが、情報を正しく管理するという点で、
根っこは同じなのです。
セキュリティ対策は、幅広で、やることが多くて・・・
といわれることもあります。
確かにそのとおりなのですが、
個別項目に集中しすぎて、
PDCAと整理整頓がおろそかになっている、ということが多いです。
目の前で起きているインシデントや、クラウドサービス導入等の
新しい技術への対応に時間をとられているうちに、
セキュリティ監査(PDCAのC)ができていないかったということに
なっていないでしょうか。
PDCAと整理整頓という土台がしっかりしていれば、
外部、内部の多少の変化にも対応して、
セキュリティの水準を保てることでしょう。
—–