8月に、情報セキュリティマネジメントに関する社内講習を行いました。

コルテクネは、情報セキュリティマネジメントの国際規格である「ISO27001」の認証を取得し、情報資産の安全性の確保、有効に活用できるようISMSの運用と事業の展開に努めています。

日々の活動の中では、情報資産の種類が増えたり減ったり・・・働く環境や利用するツール、セキュリティリスクの変化など・・・、様々なことに対応していかなければなりません。

そんな中で有効なセキュリティルールを運用していくには、ルールが現状に対して適切かどうかを事業活動を行うメンバーの全員で判断ができる必要があると考えています。
またISMSは事業継続・事業活動の最大化を目的として運用されるため、ルールが事業や日々の業務を妨げてはいけないため、業務や組織にあった内容であるべきです。

セキュリティルールの考え方・作り方をメンバーに知ってもらい、ルール改訂や制定に全員が取り組むことのできる、柔軟で堅牢な組織となるために以下の内容で講習を実施しました。

• ISMSの目的と情報セキュリティの3要素
• セキュリティポリシーの構成と要件（ポリシー・スタンダード・プロシージャ）
• セキュリティルール作りの考え方

リストの1・2つ目の内容は基礎の再確認です。
今回の講習では、3つ目の「セキュリティルール作りの考え方」がメインの題材でした。
その中で、最も意識をしてもらいたい考え方の一つについて、書きたいと思います。

『目的志向型』で、守られるルールを作る

人の行動パターンは大きく二つあると言われています。
一つは『目的志向型』で、人の思考や行動パターンのうち、”目的を実現・達成することに意欲的”になるタイプ。もう一つは『問題回避型』で、”直面する問題を回避・排除することに意欲的”になるタイプです。

これらの二つはどちらの方が優れているという物ではなく、同時に存在し、咄嗟にどちらの考え方が優勢になるかというものだと私は考えています。
見出しで『目的志向型』で〜・・・と述べていますが、ISMSにおいては、”セキュリティリスクを排除”する必要があるため、『問題回避型』の思考でリスク因子を特定し、対処・防止することが重要です。しかし、回避・排除の方向性だけでルールを作るとどうなるでしょう。

テレワークへの移行や働き方の多様化により、自宅でオンライン会議に参加する機会が増え、同居する人への情報漏洩はとても身近なセキュリティリスクの一つになりました。
ここで情報漏洩を防ぐために、「同居人の前でオンライン会議に参加しない」というルールを作ったとします。
同居人も在宅、且つ、個室を用意する事ができないという場合は少なくないでしょう。同居人の外出の隙を見計らって会議参加できるかもしれませんが、時間も限られてしまいますし予定が組みづらくなることでビジネススピードが低下します。会議のために外出をお願いするとなると、相手に申し訳ない気持ちにもなってしまいます。

お風呂や倉庫を個室として使用することで会議に参加した。なんて話も耳にした事があります。
リスク因子は排除できたかもしれませんが、居心地は悪く、構造によってはネット回線も微弱になり普段のようなパフォーマンスが発揮できない可能性が大きいです。

このようにルールによって不便や不都合が生じると、人は、ルールを守っているように見せかけたり、ルールを守るための”抜け穴”を探すようになります。
ここで、「ごまかす・抜け穴を探すなんてダメな人だ！」とは思わないでください。誰しもそういうものですし、あくまで効率的に業務を遂行しようという志の結果です。
しかし、同居人の前でオンライン会議に参加していないようで、実は画面に映らないところに静かに人がいる・・・となっては、ルールを守ってみせる事が目的になってしまい、漏洩リスクを排除する事ができていません。

では単純に、「会議参加時はイヤフォンを使用する」というルールにしてはどうでしょう。
自分の声は聞こえてしまうかもしれませんが、少なくとも他の会議メンバーの声が漏れることはありません。予定組みやパフォーマンスに著しく影響を与えることもないですし、これだけでもかなりのリスク低減につながるのではないでしょうか。
（自分の声も気になるようであれば、単一指向性のマイクを使うことで、できるだけ小さい声でも会議に音声が入るようにするというのも有りかもしれません。）

「同居人の前でオンライン会議に参加しない」は会議音声が聴かれてしまうという問題を排除する『問題回避型』の発想ですが、「会議参加時はイヤフォンを使用する」はどうやって音声を漏らさずに会議に参加するかという『目的志向型』の発想によるルールです。
目指すところは同じですが、重要なのはルールが不便を生じさせていないか、選択肢を奪っていないかという点。
回避をする時は何らかの手段を選ばなくなるので、不便や非効率を生みがちです。
手段を提示してあげることは、ルールの受け入れを容易にし、守る負担も軽くする事ができます。

『問題回避型』の発想で禁止事項のルールを検討する際は、必ずセットで『目的志向型』の発想で手段を検討してください。
代替手段は無く「とにかく禁止！」という場合もありますが、そこで一度立ち止まり、ルールによって行動の選択肢が狭まっていると思った時には、再検討できると良いと思います。

今回のオンライン会議の例はあまりに単純で、「みんなやってるよ！」という例かもしれません。しかしこれぐらいの発想や粒度でルールを考えれば、日々の行動を大きく変えずに、少しの意識改革や工夫だけで、セキュリティレベルを上げる事ができます。

セキュリティ対策に”完璧”は存在しません。
完璧なルールは存在しませんが、完璧でないルールでも、それらを確実に守ることで完璧に近づくことはできるでしょう。講習では『多層防御』についても話しましたが、様々なレイヤーに防御策をはることでも完璧に近づくことができます。
ただしルールが乱立したり、複雑化してもいけません。シンプルでわかりやすいルールであることが一番重要だと私は考えています。

記事の序盤に述べたように、ISMSの目的は「事業継続・事業活動の最大化」する事です。
守る事のできる、効率性や生産性が損なわれないルール作りが、会社をスケールさせることに繋がれば良いなと思います。

Illustration by AlexS from Ouch!