解説:教えてアカネちゃん
情報セキュリティインシデントが発生した時、よく聞くのが「自覚が足りない」「担当者は厳罰に」という精神論です。
確かに、お客様にサービスを提供する上で「自覚」は必要です。実際、「自覚」が足りないと思える事例も枚挙にいとまがありません。
しかし、忘れてはならないのは、自覚と厳罰だけでは情報セキュリティを守ることはできないということです。
重要インフラであればあるほど「インシデントゼロ」という目標が掲げらています。しかし、「インシデントゼロ」はあくまでも理想であって、現実には大小問わずインシデントは起きてしまうものです。理想と現実のギャップをどう埋めるか、実際にインシデントが起きてしまった時にどう被害を最小限に留めるかこそが大切なポイントです。
その点を取り違え、文字通りの「インシデントゼロ」を目指し、「インシデントが起きたこと自体が自覚のない恥ずかしいこと」という風潮を作り、何か起きた時に厳罰に処するという姿勢では、どのような問題を生むことになるでしょうか?
隠ぺいです。
隠ぺいの結果、初動対応が遅れると、被害は大きくなるばかりです。故意なら話は別となりますが、過失ならば、インシデントを起こした個人の自覚不足を責め、あまつさえ処分してしまうのは、百害あって一利なしです。
どのようにすれば良いのでしょうか?
隠ぺいせずに、即座に担当部署に報告が集まるようにする必要があります。
これは簡単なことではありません。
まずインシデントは個人の責任ではなく組織の責任であることを明確にする必要があります。そして、インシデントを報告した人には、むしろ感謝しなければなりません。そして、「自覚」を求めるのであれば、「インシデントを起こさない自覚」ではなく「インシデントが発生した時に被害を最小限に留める自覚」を求めなければなりません。そして、情報セキュリティを担当する部署が社内に周知し、社内の信頼を得ていくことも必須と言えるでしょう。
次回のテーマは、外部通報の受付体制です。
お知らせ
今回のストーリーは、小説版でも読めます。
2022/12/31までの期間限定でKindle Unlimitedで配信中。
