社内全体での心掛けを!セキュリティ対策の立て方#1の続きとなります。

意識づけはシンプルに!

情報セキュリティに関する意識づけは、可能な限りシンプルに行なうとよいです。従業員個人に情報セキュリティについて判断させたり、情報セキュリティ規則を詳細に理解するように指導したりするのではなく、「業務以外に利用しない、勝手にもち出さない」といったシンプルな指導を行なうほうが従業員にとってはわかりやすくなります。「クリアデスク、クリアスクリーン」(机の上に何も置かない、画面はログオフする)といった簡潔な指導も有効です。

「忘れたころ」が重要

情報セキュリティに関する意識は、時と共に薄れてしまうのが実態でそこで、セキュリティの意識づけは、忘れたころに行なうのが有効です。例えば、半期ごとに実施してもよいですし、情報セキュリティ月間や情報セキュリティの日などを設定して実施してもよいでしょう。また、管理者の立場から見ると、職場の緊張感が緩んできたかなと感じるときに注意喚起することが重要です。何れにしても、組織の状況や雰囲気に常に注意を払うことが大切です。

飽きさせない

毎回同じような方法で意識づけを行なうと、意識づけのための教育などが形骸化してしまい効果が薄れてしまいます。そこで、従業員などに飽きさせないような工夫が必要になります。例えば、次のような取り組みです。

・映像を使う

・社長から意識づけをしてもらう。他社事例を紹介する

・理解度テストを行なう

・グループディスカッションを採用する

・外部講師による講演や研修を行う

人材不足

最近、国を挙げてセキュリティ人材(セキュリティを担う人材)の育成が叫ばれていますが、企業においてもセキュリティ人材が不足しています。セキュリティ人材だけでなく、IT人材も不足しているので、システム開発の失敗やシステム障害がなくなりません。従来の企業では、IT業務を非コア業務として位置づけてきた結果 IT人材の育成は進まず、IT人材の不足という結果を招いています。

このようにシステム開発·運用のリスクがわからない状況でIT業務を外部委託すると、誤った指示·承認を行なってしまい、システム開発の失敗やシステム障害の発生につながることがあります。IT人材を社内で育成することは手間がかかるので、IT人材を外部から確保する方法をとる企業もあります。特に情報セキュリティ人材はいま非常に不足しているため、中途採用で人材を確保して対応している企業が多いのが現状です