経営に必要な情報セキュリティマネジメントの要諦（4）<BR>【連載最終回】NRIセキュアテクノロジーズ(2/2)

　もう１つの従業員の意識改革は、実際もっともコストパフォーマンスのよいセキュリティ対策と言える。ITによる仕組み化については既にお話したが、こうした取り組みを進めたとしても、従業員の意識に頼る部分は多い。従業員の意識を変えるためには研修が必要であり、弊社の調査でも約45%の企業で情報セキュリティに関する研修を行っている。

　研修の方法として、教室型やWEBベースのトレーニング（e-ラーニング）が主流であるが、意識を変えるためには単にセキュリティの知識を学ぶだけではなく、できれば教室型の研修で、受講者自らに考えさせる型の研修が望ましい。

　例えば、一通りの知識について説明した後、「PCを電車の網棚に置き忘れた時には具体的にどうするか」「顧客から個人情報を受け取った場合にはどうするか」など具体的な局面で、「あなたならどうする」型の問いかけを行い、グループワークにより意識共有を行うなどの研修が効果的である。

　この場合でも、研修から戻った時に先輩社員から「それはあくまで建前だよ。これまでそんなことやっていないよ」などと言われると、せっかくの研修が台無しである。「見える化」のところでもお話したが、これまでと明確に違う取り組みを行うことを経営の言葉で全社に向けて宣言することが肝要である。

　これまで、企業における情報セキュリティ管理に臨む際の基本的な姿勢、考え方について述べてきた。大まかに要約すると、情報セキュリティは情報流出などの機密性だけではなく、完全性、可用性も視野に入れるべきであること、守るべき情報は何か、それに対してどういう脅威があるのかを整理し、それにより情報の価値に応じた対策を施す、いわゆるリスクマネジメントの考え方が重要であること、また、情報セキュリティマネジメントとは資産価値が低下しないように、桶の水が常に一定レベル以上を維持するために様々な施策を講じることであり、「可視化」、「仕組み化」、「現場化」などを考え方が必要である、ということであった。

　短い連載であったが、４回の連載で述べてきた内容が、皆様の組織の情報セキュリティのレベルアップに少しでも貢献できれば幸いである。

（２/２）


NRIセキュアテクノロジーズ株式会社
情報セキュリティ調査室長
菅谷光啓
1991年、野村総合研究所入社
1995年頃より情報セキュリティ関連事業に参加
2000年、NRIセキュアテクノロジーズ発足と同時に出向
コンサルティング事業部長を経て現職
現在、情報セキュリティに関わるコンサルテーション、脆弱性評価、監査、教育・研修、情報提供事業を担当
工学博士、CISA、CISSP、CAIS