【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
【解説】
なぜ社員はセキュリティ・ポリシーを無視するのか
ポリシーを守っていたら仕事にならないという現状も
(2008年10月30日)
米国EMCのセキュリティ事業部門であるRSAセキュリティは先ごろ、社員(雇用者)のセキュリティ意識に関する調査結果を発表した。それによると、多くの社員が任務を遂行するために、自社のセキュリティ・ポリシーをしばしば無視している現状が明らかになった。
Joan Goodchild
CSO米国版
 |
| RSAセキュリティのWebサイト。同社は情報セキュリティ対策の“勘所”について、積極的に発言している(関連記事) |
同調査は、「多くの企業は悪意ある内部関係者からのセキュリティ侵害には気を配っている」と指摘したうえで、「真の危険は、悪意を抱いていない社員たちが日々繰り返す、ささいな規定違反に潜んでいる」と警鐘を鳴らしている。
ほとんどの社員は、自分の所属する組織のセキュリティ・ポリシーを、「よく知っている」と回答している。
しかし、IT市場調査会社の米国Gartnerでアナリストを務めるフランク・ケニー(Frank Kenney)は、「ポリシーには常に白黒つけられない部分がある。多くの企業は社員に対し、善悪を判断しにくいメッセージを発信している」と語る。
「例えばセキュリティ・ポリシーでWebメールの使用を禁止しているが、社内から米国Googleが提供する『Gmail』が使える環境だったとしよう。もし、大容量ファイルを送信しなければいけない状況が発生し、会社のメールで大容量ファイルが送信できなければ、わたしなら(禁止されていても)Gmailを使用するだろう」(Kenney氏)
Kenney氏は、「企業が社員に特定アプリケーションの使用や特定Webサイトへのアクセスを禁止する場合には、単に『禁止する』といったメッセージだけでは不十分だ。CSO(最高セキュリティ責任者)は、社員がセキュリティ・ポリシーの意義を理解できるよう気を配り、折に触れてその内容を確認する文書などを配布する必要がある」と語る。
さら同氏は、セキュリティ侵害を防ぐツールの導入も、同時に進めるべきだと主張する。
「例えばGmailの使用を禁止したいなら、同サイトへのアクセスを遮断するツールを導入すべきだ」(Kenney氏)
[米国]【Ponemon調査】企業の情報漏洩対策、最大の課題は従業員の意識改革
半数以上が社外秘情報を無断で持ち出した経験アリと回答
[英国]【RSA Conference Europe 2008】Googleを駆使したWeb攻撃が急増――セキュリティ専門家が指摘
「サイト・マスキング」など新手の攻撃手法も
巧妙化が極まるクラッキング、増え続ける攻撃の手口
【解説】 投資会社のデータ流出で浮き彫りになった、P2Pソフトの“危険度”と企業の“鈍感力”
「サイバー犯罪者にとってP2Pネットワーク上の情報は“ネタ”の宝庫」と専門家は警鐘
[英国]【Gartner IT Security Summit】増加するスマートフォンの業務利用、セキュリティ・リスクをガートナーが指摘
モバイル機器をターゲットにしたなりすましやフィッシング詐欺などが増加傾向に
