網羅性のワナ

問題なのは、規格のすべての管理策を実施しようとしてポリシーに組み込んでしまうことだ。ポリシー適用組織の業態によっては、適用しない管理策も出てくるはずである。この「規格だからすべて必須」という考え方が、ポリシー策定上の間違いのはじまりなのである。

また「所属する業界の標準ポリシーが欲しい」という声も聞かれる。しかしこれはまったくの間違いである。そのような都合のよいものはないし、認証規格の趣旨からすると、自らの組織に適合しないポリシーを策定していても、認証要件を満たしていることにならない。

では、どうすればよいのか。そもそも、最初から完璧なポリシーなど策定できると考えない方がよいのである。ISMSを運用していく中で、不十分な部分を追加し、改定していくのが本来の姿だからだ。そのためには、セキュリティ対策の遵守状況を的確にモニタリングする仕組みが必要となる。この中には現場との対話も含まれる。

セキュリティポリシー策定のポイントはバランス

元来、セキュリティ対策と使い勝手・業務の効率とは相反するものである。過剰なセキュリティ対策は、手続きばかり増やして使い勝手を悪くし、挙句はルールの逸脱が頻発する事態を招く恐れもある。

一方、業務の効率を優先し過ぎたばかりに、せっかくのセキュリティ対策が効果を失い、事件・事故に結びついてしまう恐れもある。要はバランスなのだが、これが意外と適切な状態になっていないケースが多いのである。

具体的な事例で考えてみよう。端末利用上のルールとして、スクリーンセーバ（パスワード付き）を5分に設定するように決めたところ、現場の実施率がなかなか上がらないケースが見られた。

スクリーンセーバの対策は、離席時などにおける「盗み見」を防ぐ対策として有効だ。しかし、保護状態からの回復時間が業務効率の大きな障害になる場合も考えられる。

例えば、考えながら作業を進めているプログラマがこのケースに該当する。回復時間の間に折角思い付いたアイデアを忘れてしまう恐れがあるからだ。また作業の立ち上がりのほんの短い時間が積み重なることで大きなコストロスとなる。

コールセンタのオペレータもこれに該当する。いつかかってくるかわからない電話を待っている間にスクリーンセーバが起動してしまい、回復時間のためにお客様への応答に遅れを生じてしまう恐れもあるからだ。しかも、コールセンタのオペレータの場合は、まさに秒単位で業務効率をモニタリングし改善に取り組んでおり、スクリーンセーバの対策の遵守が本来の経営目的の達成を阻害することになってしまう。まして、オペレータの作業環境が間仕切りなどによって隔離されているのであれば、そもそも「盗み見」のリスクは小さいはずだ。

この例は、セキュリティ対策による効果と業務効率の低下などのコストをきっちり比較評価する必要性を示している。コストの割りに効果の乏しいセキュリティ対策を実施しても意味はないし、セキュリティポリシーに安易に盛り込んではいけない。無意味な対策を現場に徹底させようとしても現場にはストレスがたまるだけで、さらに悪い方向へ流れていってしまう恐れすらある。 次のページ