クラウド時代のNeed to Know~情報セキュリティ初めの一歩

情報システム(基幹システムとインフラの開発と運用)の経験を振り返り、情報セキュリティについての考えをまとめてみました。

「Need to Knowの原則」とは、

「情報は知る必要のある人のみに伝え、知る必要のない人には伝えない」

という原則のことです。

スポンサーリンク

「Need to Knowの原則」が存在しない世界を想像してみる

「Need to Knowの原則」が存在しない世界とは、情報セキュリティについて管理側の仕事をしている人にとっては、まさに悪夢ような世界です。

どこかで見たり聞いたりしたことがある、あるいは思い当たることがあるかもしれません。思いつくままに列挙してみます。

  • 関係者内のみに開示された情報なのに、自己判断で関係していそうな人全員に発信してしまう。理由を聞けば、「関係しそうだと思う人全員にお知らせしようと思って。」・・・。
  • メールのBccの乱用。誰に送ったか本人さえも定かでない・・・。
  • 人事異動とか職務上知ってしまった情報について、話してしまう。悪気はないのだろうが、情報が情報だけに注意してくれる人もいないだろうし、ますます調子にのってしまい表面化、そして処分へと一直線。
  • 値引き交渉で、本人だけが気づかぬうちに仕入れ価格すなわち原価を漏らしている。
  • エレベーターにタバコ部屋、知らないうちに外部に漏れている。悪い話は足が速い。
  • システム管理でも、チェック役の管理職が何を考えているのか自分の確認作業を担当者にやらせる。これでは、アカウント管理していても意味がない。

といった感じでしょうか。

情報セキュリティ事故が起きないのがまさに奇跡、セキュリティ責任者にとっては悪夢のような現実・・・。

情報システムを預かる身としては、気づいたことから手をつけていてはこっちが自分自身が先に参ってしまう。頑張っても抜け漏れを本当に防げているのか判断が難しい・・・。

問題を報告すれば、どこで聞きつけたのか「ISMSの認証取得を進めるように。」との指示が・・・。(こうして情報システム室の仕事は増えていく・・・。)

スポンサーリンク

さてどうやって情報セキュリティの網(ルール)を作ろうか

例えば、情報セキュリティ責任者を決めても個人の力ではどうにもならないと思います。そこで、まずはルール作ろうと考え始めたものの、情報セキュリティルールの対象範囲さえ、何をどこまでやればよいか見当がつかない(社内システムは何とかなりますが、情報資産の洗い出しとなると浅く広くリアルな社内業務を知らないと難しいと思います)。

とりあえず手をつけてみましたが、発散して行き詰まる。手を動かす前に悩んでも、何か見えてくるわけでもない。さて、どうしたものか?

ネットで、書店で、いろいろと調べてみましたが、時が過ぎていくだけでした。

考え始めてから、気にはなるものの日々の仕事に流されていたある日のこと。ふと、ISMSが使えないかと思いつきました。

会社全体に情報セキュリティの網をかけてみて、やるべきことと現状・現実を見える化してみたらよいのではないかと考えたのです。こうして情報セキュリティのルールづくりが始まりました。

まずはざっくりと、現実(実力)をISO27000シリーズ、ISMSの付属書Aに当てはめていくと、これならなんとかなりそうだと思えてきて、本腰をいれて取り組み始めました。

付属書Aには、具体的にやるべきことが書かれていて、品質マネジメントとはちょっと違っているなと思いながら、情報セキュリティ、秘密保持や情報漏洩のルールを作り始めました。その後幾度となくくじけて、結局形にするのに丸2年ほどかかってしまいました。

スポンサーリンク

情報セキュリティのルール作りの後日談

最終的に、ISMSで網をかけるルールづくりは、当分必要なしと判断されていたようです(「内規で取り組んでいます。」と姿勢を示すレベルでよかったようです)。

自分自身に何事か起こらないと変われないのかもしれませんし、情報システムの開発と運用を見てしまった経験から気になり過ぎたのかもしれません。

とはいえ、情報セキュリティの知識や経験を見直し再構築する良い経験となりました。

スポンサーリンク

番外編:Need to Knowをマネジメントに適用すると

「情報は知る必要のある人のみに伝え、知る必要のない人には伝えない」の伝えないを誤ってマネジメントに適用してみると、これもどこかで聞いたような話が出てきます。

上司が部下のマネジメント(この場合は、コントロールに近い)に適用すると、上司の力量次第ではありますが、上司が困ることも、部下が困ることもあります。

  • 指示されたことしかやらない部下が出てきて、上司も周りの部下も疲弊してしまう。
  • 仕事をしない部下は生き残り、仕事のできる使える若者は去っていき、負のスパイラルが始まる。

部下(他人)の仕事を100%管理できる上司なら、それは1つのやり方だと思いますので否定はしません。部下も3名程度ならまだしも、人数が増えてくれば、全員を100%コントロールすることには無理があり、管理(マネジメント)の仕方が変わっていくのが通常ではないでしょうか。

一方、部下からすれば、「今やれ、すぐやれ、ここでやれ」では、先読みや事前準備ができず、リーダーに振り回される結果となり、しだいに言われたことしかやらなくなっていくこともあります。

どこまで任せるかは、リーダーの裁量、塩梅(あんばい)なのだと思いますが、グレーゾーン、曖昧さでもあり、機械に必要なガタ、潤滑油みたいなものとも言えます。結局、リーダーの力量と考え方次第になると思います。

まとめ

情報システム(基幹システムやインフラの開発と運用)の経験を振り返り、情報セキュリティについての考えをまとめてみました。

ここでは、以下について説明しました。

  • 「Need to Knowの原則」が存在しない世界を想像してみる
  • さてどうやって情報セキュリティの網(ルール)を作ろうか
  • 情報セキュリティのルール作りの後日談
  • 番外編:Need to Knowをマネジメントに適用すると
タイトルとURLをコピーしました