「セキュリティポリシーを決めて、対策ソフトを導入した。」「これで大丈夫と思っていたのに、ルールが守られていないことが判明した。」どうすればよいのだろう?ポリシーが運用に適合していないと、このようなルール違反が日常的に発生します。今回は、このルール違反について見てみましょう。
ルール遵守はどれだけ守られている?
米国のシステム監査団体の調査(2007年11月)で、会社のITポリシーに違反したことがある人が、35%に達することがわかりました。どれだけ規約が守られていないかよくわかりますね。約を理解していない人を含めたら、もっと多くなるでしょう。
そんな個人の規範意識に頼っていると、どうなるか想像してみましょう。たとえると、会社の金庫の鍵を従業員全員が持っているようなものです。鍵をなくす人が出てくるのは当然で、中には、わざと盗む人もいるかもしれません。そんな状態を放置しますか?
どうすればルール違反を減らせるだろう
交通ルールであれば、警官が立っていれば減ります。監視カメラも効果があります。しかし、警官はともかく、監視カメラはナンバーがうつらないようにするとか、レーダーを使うとか、すり抜ける手が横行しているように、ログについても、ある程度の抑制手段にしかなりません。
そもそも、なぜ、ルール違反が起こるのかを考えて見ましょう。それは、業務に必要なことなのかもしれません。もしくは、そのルールを守ると、業務効率が落ちるのかも知れません。
ルール違反に関係なく被害を減らすには
ルール違反することが出来ないようにすることが難しければ、ルール違反した場合の影響が小さくなるような対策を取るのが事前の策となります。安全のため、持ち出しを禁止するのではなく、持ち出しても安全な方法を、探すことです。業務の効率を落とさない方法で、守れる方法を探すことです。
具体的な対策は?
持ち出しされているのであれば、持ち出ししても安全な方法を探しましょう。暗号化する手順が省かれているのであれば、暗号化が自動的に行われる方法を探しましょう。
たとえば、情報漏洩対策ソフト「トランセーファー BASIC 暗号化SDK」なら、業務システムや文書管理システムに組み合わせ、コマンドラインでファイルを自動暗号化できます。一から機能開発するより、本SDKを利用して暗号化機能を組み込めば、コストも作業負担も大きく軽減でき、短期間で対策可能です。