- PR -

セキュリティポリシー違反の社員への懲罰について

1|2|3 次のページへ»
投稿者投稿内容
あにゃ
常連さん
会議室デビュー日: 2003/12/24
投稿数: 23
投稿日時: 2004-01-10 23:40
こんにちは。あにゃです。

SoftEtherやWinny/WinMXの使用、業務に関連のないWebアクセス、モバイルPC・PDA・メモリーキー等での機密情報の社外持ち出しなど、全てのセキュリティポリシー違反を100%技術的に抑え込むのは難しいと言えます。やはり合理性のある懲罰を策定し、社員へ抑止を行わなければいけないと思います。いわゆる「リスクマネジメント」です。

当然、不幸な懲罰対象者を生まぬよう、システム管理側でしっかりとしたセキュリティ設計を行う必要がありますが結局は「人の心」まではITで管理できるものではありません。懲罰を行うことは抑止効果としてリスク軽減のための不可欠の要素であると思います。

さて、この「懲罰」に関してはどの程度がふさわしいと思いますか?。社内のシステム管理側から見ると、これは経営者・管理職側の問題のように思われます。が、同時に適切な抑止力はセキュリティ全体から考えてシステム管理と表裏一体の部分です。

## これを未だに勘違いしている管理職の多いこと・・。
## どんなにFWやproxyを整備したって、ウイルスチェッカーを用意したって、
## 鞄のポケットに入る80GBのHDDとかでちゃちゃっと一括でデータ持ち逃げ
## されたら終わりっすよ。。

経営サイドから見たリスクマネジメントについては多くの著作があると思いますが、技術者サイドから見たセキュリティマネジメント全体における懲罰のあるべき姿についてご意見をいただけたらと思います。

## なんかやったら「みんなクビ!」ってのはありえまえせんよ。
## 社員も会社も不幸になったら意味がないですよね。
## お題目なので堅く文章をまとめましたけど、ご返信は気軽にお願いします。

[ メッセージ編集済み 編集者: あにゃ 編集日時 2004-01-11 02:51 ]
yatcin
会議室デビュー日: 2003/11/21
投稿数: 12
投稿日時: 2004-01-12 04:36
「気軽に」ということですので個人的意見として・・・・。

あにゃさんの見解にある「勘違いしている管理職の多いこと・・・」というのは的を得てると思います。マネジメントの観点からいってもセキュリティポリシーなどは経営者をはじめとした管理職が本来はトップダウンで企業をあげて取り組んでいかなければいけないのにトップの関心が薄いために技術者サイドとしては歯がゆい思いがする、私も経験があります。

ただ「懲罰」については技術部門が模索する範囲ではないと私は考えます。リスクについてはやはり経営者以下管理者が決定することであり私たち技術サイドが会社に対してすべきことはデジタルリソースの取り扱いに対する「モラル」を経営者に教えてあげることではないでしょうか?我々技術者は理解しているから「これは常識」だと思っても理解していない(これは悪いことだとは思っていない)人達に技術者サイドの観点から「これは違反だ」というのは相手にしてみたら納得いかないのではないでしょうか?
m.ku
大ベテラン
会議室デビュー日: 2002/09/15
投稿数: 184
投稿日時: 2004-01-12 13:51
> 私たち技術サイドが会社に対してすべきことはデジタルリソースの取り扱いに対する
> 「モラル」を経営者に教えてあげることではないでしょうか?

たぶん↑ということでしょうね。
各種リスクをわかりやすく整理してリストアップし、それに対する対応などを
どうするか?という"資料"を作る為のベースとなる資料を作るまでが守備範囲かと。

「どうする?」に関しては経営サイドが決めることで、ベースとなる資料には
各種選択肢を用意して「〜の場合は〜」などと判断をサポートする情報は提供
しますが、選択or別回答を用意するのは経営側の守備範囲でしょうから。

余談:勘違いをしているうんぬんについては、技術者が管理や経営について
   勘違いしているのと大して変わらないと感じてます。キーになるのは
   いかに情報の流通と理解をはぐくむ環境があるか否かということで、
   理解されないのは理解させる努力が足りないというのも一面であると
   いうのが会社の中での話かと。専門的な知識は技術であろうが経営で
   あろうが、その担当が抱えているだけでは周りの理解は得られませんから。
Beatle
ぬし
会議室デビュー日: 2003/06/09
投稿数: 394
投稿日時: 2004-01-12 16:20
個人情報に関してはプライバシーマーク制度があって、登録している会社では
多分、コンプライアンスプログラムの要綱とか規約とかにも違反した場合の罰則など
も明記しているのではないでしょうか?
まぁ、明記といっても○○○委員会(とか会議とか)の査問会等で決められるような
形でしょうけど。うちでは最高は「クビ」まで有り得るということだけ書かれていま
す。対外的な責任の所在は明記されていますけどね。とりあえず悪意を持って犯した
場合と、事故やミスでそうなった場合とで同じ懲罰(クビとか)になるのはあまりに
も...という感じでしょう。

ただ、個人情報以外の機密事項については残念ながらあまり明記はされていないのが
現実でしょうね。罰則よりもまず何が機密事項なのかについて認識のずれがあるので、
そこを定義することから始まるのではないでしょうか?(「社外秘」なんてスタンプ
の押されている書類は誰でもわかるでしょうけどね。)
あにゃ
常連さん
会議室デビュー日: 2003/12/24
投稿数: 23
投稿日時: 2004-01-12 22:28
yatcinさん、m.kuさん、Beatleさん、書き込みありがとうございます。

技術者、管理者という選別をすれば、純粋に言えば皆様のおっしゃるとおり、「そこまで踏み入れるべきではない」ということは正論かと思います。ですのであまり技術者側にいると懲罰の量的な話をすることは本業ではないと思いますが、中小企業だと、「これはどの程度の問題か?」というようなことまで管理者と会話しなければいけないように思われます。

社内で上に行けば行くほど、なんだか自分が技術者なんだか管理者なんだかわからなくなるということ、ありません?

例えば、機密漏洩だったらこの程度の懲罰がないと社外的にしめしがつかない、これは一般的にやりすぎ、などの一定の価値観を持つことは、いくら技術者であるとしても一度考えておかなきゃならんかと。。

社会人となると、自分の会社の価値観=社会の価値観となりがちですので、この場をお借りして整理させて頂ければと思っております。
(事例などを挙げて頂くとなお結構かと)

## 基本は、「気軽に」ですよ
## ここは懲罰委員会ではないですから

[ メッセージ編集済み 編集者: あにゃ 編集日時 2004-01-12 22:30 ]
rrru
常連さん
会議室デビュー日: 2003/04/21
投稿数: 28
投稿日時: 2004-01-13 00:09
気軽にコメントさせていただきます。
産業スパイでもない限り、

セキュリティポリシー違反=社員(ユーザー)教育不足と思います。

だいたいにおいて、時間がないとか言ってユーザーへの
指導を経営者やシステム管理者があまり行っていない
のが現状ではないでしょうか?

一番最悪なのはユーザーを全く教育せずに
いきなり企業コンプライアンスとか言い出して
誓約書を書かせて仕事の効率を低下させる経営陣でしょうね。
けんけん
常連さん
会議室デビュー日: 2003/08/12
投稿数: 20
投稿日時: 2004-01-13 00:21
やっぱ社内全体のモラルじゃないですかね〜。そこんとこちきんと啓蒙しておくべきではないですか?違反するのを取り締まるよりは、違反できないような環境(ハード面だけでなく)をつくっていくとこが大事だと思います。




[ メッセージ編集済み 編集者: けんけん 編集日時 2004-01-13 18:09 ]
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2004-01-13 12:48
どもも。がるです。
結構真面目ネタではあるのですが、あにゃさんの意向に沿って
気軽目に。

おおよそ対応には2Wayありまして。
[何も知らない一般社員]
とりあえず「危険であること」が認識できない場合が多いので、
腰をすえて教育してみる。
真剣な表情で語りかけて「よくわからないけどすごく重要なんだ
ろうなぁ」と思わせるのがコツ。相手の目を見据える、会話にため
を作る、低めの声でゆっくりと丁寧に話す、などの小技が有効。

[知識があるから過信している社員]
肩を叩いて一言。「ミスったら…わかってるよね?」(にやり
始終気軽な軽快な口調で。いかに「悪魔のような笑み」を浮かべ
られるかがキーポイント。上記のせりふのみ、1オクターブ
くらい低い声でつぶやいてみるのも高得点。
「ああ、もちろん君がそんな凡ミスはしないと信じてるけどね」
などと自分をさも「理解のある人」に見せることもお忘れなく。

わからない人には教育を。わかっている人には釘を。
そんな方針を基準にスタートしています(笑
# 上役相手に出来るようになればよりGoodですねぇ(笑
# …やりますが。私は。
1|2|3 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)