セキュリティポリシーがしっかり確立している会社は、スローガンや努力目標としてのセキュリティポリシーだけでなく、業務のいろいろな局面に応じた現実的なワークフローと手順書がしっかり作られている。もちろんそのワークフローと手順書は、セキュリティポリシーに基づいてしっかりセキュリティを考慮して作成されているものだ。逆にいえば、セキュリティポリシーだけが存在しても意味がない。
例えば、今回のアナザーストーリーでは触れなかったが、本編での先輩社員による持ち込み機器接続にもセキュリティポリシーの(5)「私用パソコンなどの利用禁止」が事前に決められていれば正しく排除できたはずだ。業務上の何らかの理由で「私用パソコンの使用がどうしても必要だ」という場合に備えて、「持ち込み機器接続許可申請」といったワークフローがあれば、先輩社員は言い訳もできなかっただろう。
セキュリティポリシーとそのルール体系は、大きく分けると以下のような文書から成り立っている。
細かい文書はさまざまあるが、基本的には考え方を示した文書と、手順書さえあればいい。人事規則などの罰則規定がセキュリティと連動していれば、なお効果が上がるだろう。
特に手順書は重要である。そして手順書をしっかり作るということは、この連載で何度か触れているように、セキュリティ管理者の引き継ぎを行った時点ですぐ使える文書がなければならないということでもある。日常的な管理と運用のマニュアルはともかく、トラブルシューティングのマニュアルを作るというのは困難なことではあるが、予想される大きなトラブルについては用意しておきたいところだ。
セキュリティに関するポリシーやワークフローが実際に適用されるケースは、本編・補遺編を通して分かるように、一刻を争う非常事態である場合が多い。これは、天変地異における家庭や行政の対応に似ている。例えば、地震対策でいえば、さまざまな組織が関東大震災を教訓に定期的な防災訓練を行っている。防災訓練が震災に対して非常に効果があると評価されていることを考えれば、セキュリティポリシーやワークフローの運用についても、インシデントに対する「防災訓練」として全社的に、定期的に行うことに意味があるはずだ。
また、会社の構成や、扱っている情報も生きた組織では日々刻々変わっている。「防災訓練」は、セキュリティポリシーやワークフローが現在の状況に適切に対応しているのか、対応方法に漏れはないのかといった検証を行えるというメリットがある。
「防災訓練」では天変地異と同様に、実際にインシデントを発生させることは現実的ではない。そこで関係者を集めて机上で演習・訓練を行い、問題点の洗い出しや時間軸における遅延などの検討をし、併せて全社的なコンセンサスの一致を得ることが重要なのだ。
このように普段からインシデントに対して備えをしておけば、実際に問題が発生したときも慌てずに落ち着いて対応できる。いざ「そのとき」に対応策がなくて慌てるようなこともない。このような「防災訓練」を人事異動により構成員が変わるタイミングに合わせて、少なくとも期に1度以上行うべきだろう。
中村君の会社でもこのような「仕組み」があれば、中村君がトラブルのたびに、その場限りの対応をして困ることもなかっただろう。しかし、現実は甘くない。小野さんはトラブルシューティングの文書をまとめる暇もなく倒れてしまったし、セキュリティポリシーは存在しなかったし、まして「利用の手引き」もなかったわけだ。
そのような、いわば無政府状態にいきなり放り込まれて中村くんは良くやった。しかし、さらなる苦難が中村くんを待っているようだ。
次回予告:
久保部長 「大変だ。急いで通信の記録をチェックしてくれ!」
中村君 「え? ど、どういうことですか? 何をチェックすればいいんですか?」
平山さん 「ウチの顧客の情報が漏れたらしいのよ」
中村君 「ええっ! 漏れた?」
中村くんを最大の危機が襲う……。
(次回から「新・にわか管理者奮闘記」が開始されます。ご期待ください)
※ご注意
本記事はフィクションであり、実在の人物・組織などとは一切関係ありません。
Copyright © ITmedia, Inc. All Rights Reserved.