堅く作る、柔らかく作る

　「セキュリティポリシーは、ガチガチに作るんですか？それともゆるく作るんですか？」という質問を受けることがよくあります。一般的にはリスク分析を行って、事業を継続するために守らなければならない情報資産やシステムを明確にして、効果的な対策（セキュリティポリシー）を決める。また、常にアクセスできなければならない情報資産やシステムがあるのであれば、可用性を高める対策を決める。というのが、正しい方法です。ただし、セキュリティポリシーを守るのが人間である以上、理想的なセキュリティポリシーを作れば、それで完了という訳にはいかないと思います。最終的には、理想な形に持っていくにしても、セキュリティポリシーの導入時は、「ガチガチに作るか、ゆるく作るか」は考えた方が良いでしょう。ただし、事故が起きると致命的な状況になるようなリスクに対しては当然初めから、きびしい（ガチガチな）ルールにしておかなければなりません。ではどちらが良いのかを決める方法のひとつとして、会社や組織の風土で判断するという方法があります。

　たとえば会社や組織の風土が「決められたことは守る」という意識が強ければ、初めからガチガチに作ったほうが良いでしょう。また、会社や組織の風土が「自分の判断で行動する」ような意識が強ければ、なぜ、このようなセキュリティポリシーが必要かを論理的に説明した上で、初めはゆるく作っておくというほうが早くセキュリティポリシーを浸透できると思います。誤解のないように書くと、組織ですから目標や方針には、当然従ってもらわねければ崩壊してしまいますので「自分の判断で行動する」というのは「どちらかというと、自分の判断で行動することがある」というのが、正確な表現でしょう。

　セキュリティポリシーをゆるく作るということは、それが完成形ではありません。セキュリティポリシーの導入時としてはゆるく作りますが、だんだんそのルールに慣れてきたら徐々に厳しくしていかないとリスクが高いままになってしまいます。もし、セキュリティ事故が起きる可能性が感じられたり兆候がある場合は、ただちにセキュリティポリシーの見直しをしなければなりません。また、逆に初めからガチガチに作った場合に、ポリシーを守っているユーザーにストレスを感じているようであればセキュリティポリシーの有効性を確認したほうが良いでしょう。つまり、そこまできびしくしなければ、リスクを軽減できないか検証するという作業をするのです。実際には、人間が運用上で守っていたルールを、技術的な対策で軽減できないかどうかを検討したりします。

　実際に、セキュリティポリシーを策定して運用している企業では、年に一度か二度はセキュリティポリシーの見直しをして改定している例が多いようです。初めに完璧なセキュリティポリシーを作るという意識より、早く作って改定していくという意識のほうが重要でしょう。