なぜ社員はセキュリティ・ポリシーを無視するのか
ポリシーを守っていたら仕事にならないという現状も米国EMCのセキュリティ事業部門であるRSAセキュリティは先ごろ、社員(雇用者)のセキュリティ意識に関する調査結果を発表した。それによると、多くの社員が任務を遂行するために、自社のセキュリティ・ポリシーをしばしば無視している現状が明らかになった。
Joan Goodchild
CSO米国版
同調査は、「多くの企業は悪意ある内部関係者からのセキュリティ侵害には気を配っている」と指摘したうえで、「真の危険は、悪意を抱いていない社員たちが日々繰り返す、ささいな規定違反に潜んでいる」と警鐘を鳴らしている。
ほとんどの社員は、自分の所属する組織のセキュリティ・ポリシーを、「よく知っている」と回答している。
しかし、IT市場調査会社の米国Gartnerでアナリストを務めるフランク・ケニー(Frank Kenney)は、「ポリシーには常に白黒つけられない部分がある。多くの企業は社員に対し、善悪を判断しにくいメッセージを発信している」と語る。
「例えばセキュリティ・ポリシーでWebメールの使用を禁止しているが、社内から米国Googleが提供する『Gmail』が使える環境だったとしよう。もし、大容量ファイルを送信しなければいけない状況が発生し、会社のメールで大容量ファイルが送信できなければ、わたしなら(禁止されていても)Gmailを使用するだろう」(Kenney氏)
Kenney氏は、「企業が社員に特定アプリケーションの使用や特定Webサイトへのアクセスを禁止する場合には、単に『禁止する』といったメッセージだけでは不十分だ。CSO(最高セキュリティ責任者)は、社員がセキュリティ・ポリシーの意義を理解できるよう気を配り、折に触れてその内容を確認する文書などを配布する必要がある」と語る。
さら同氏は、セキュリティ侵害を防ぐツールの導入も、同時に進めるべきだと主張する。
「例えばGmailの使用を禁止したいなら、同サイトへのアクセスを遮断するツールを導入すべきだ」(Kenney氏)
- 1
- 2
