長期休暇における情報セキュリティ対策 Vol.1

はじめに

年の瀬が迫ると情報セキュリティを生業とする公的機関やセキュリティベンダーから年末年始の長期休暇に向けたセキュリティ対策を案内するのが恒例となっています。弊社も負けず劣らず、このテーマで情報を発信させていただきます。

基本的な事ですが年末年始の長期休暇に限らず、休暇中は仕事から離れることが大事です。年末年始は製品やサービスを提供する事業者も休暇に入りますので平時と同じサポートを受けられない場合もあるため、トラブルが発生すると従来よりも解決に時間を要してしまい影響が大きくなってしまう可能性があります。長期休暇だからというわけではありませんが、せっかくの休暇が台無しにならないようにあらかじめ必要な準備はしておきましょう。

長期休暇を想定したルールづくり

どうしてもオフィスや自宅で休暇中に仕事をしなければならない従業員がいるということであれば、長期休暇中における業務への従事及び業務データの取り扱いに関するルールを策定し、組織内で周知徹底しておく必要があります。一般的に推奨される休暇前、休暇中、休暇後の対応については、もはや各所で語り尽くされていますので、下表をご参照いただければ幸いです。

情報システムの担当者としては、万一の事故に備えて休暇中に業務に従事する従業員の把握と扱う情報や履行する環境（端末や場所）等を把握しておくと良いでしょう。そして念頭に置いておかなければならないのは、従業員は必ずしも定められたルールを守るわけではないということです。性善説を前提にあれこれと取り組んでいるだけでは、思わぬところで足下をすくわれるかもしれません。しかし、従業員の本質は「悪」ではありませんし、自ら間違ったことや逸脱したことをしたいわけではないでしょう。その様な観点から言えば、組織の特性を踏まえて伝え方や仕組みづくりには工夫が必要です。ルールづくりで重要なのは「□□してはならない」という伝え方ではなく、「◯◯の場合は、✕✕を利用して△△をすること」といった様にどうすれば正しい行動が取れるのか具体的に示してあげると従業員もイメージができるはずです。

実際、情報セキュリティのルールを作成しても以下に示すとおり人によって受け取り方は違います。筆者の経験から言えば、具体性や根拠のない制限や禁止は逆効果となり実効性はありません。子どもと同じですが、「あれはダメ、これはダメ」では心理的リアクタンスにより選択的自由が脅かされたと感じてしまい無意識に反発する行動が現れてしまいます。古臭い精神論的な押し付けではなく、従業員が具体的に正しい行動を選択できるルールづくりを心掛けましょう。

情報セキュリティのルールを考える上では、その目的（このルールの必要性や適用範囲）や具体的な行動例、効果（遵守することのメリット、遵守しない場合のデメリット）、万一を想定して被害を最小化するための対応ルールや手順を明確にして人によって解釈が異ならないように規定します。また、ルールを遵守してもらうための動機付けとしては、従業員の業務効率維持を前提として負担をできるだけかけないように双方における落とし所を見定めておきます。

休暇中に業務に従事する方に対しては、組織が定める決まり事を把握し、ルールを逸脱せずに業務に従事してもらうことが求められますが、そもそもとして本当にこの休暇中にやらなければならないのかということを今一度考えてもらう必要はあるでしょう。触らぬ神に祟りなしです。

次回は長期休暇中におけるセキュリティ・インシデントの具体例をご紹介させていただきます。

2019年12月24日

株式会社Blue Planet-works

Director, Security Advisor

鴫原祐輔

AppGuardで感染対策を！