フレキシブルな内部監査

　どうしても人間は楽な仕事のやり方に流れてしまいがちです。冷静に自分を見つめても、楽な仕事のやり方を選ぶでしょう。情報セキュリティを守るためにルールを実施しなくなることも、楽な仕事のやり方に流れるひとつの事例です。本来の仕事がいそがしくなったり、自分のまわりでルールを守らない人を見たりすると、つい「まぁ、いいか」とセキュリティ対策のためのルールを守らずに仕事をしてしまう誘惑にかられます。

　それを防ぐには、事故事例を使った教育も有効ですが、即効性があるのは第三者のチェックだと思います。つまり、内部監査を実施するのです。通常の内部監査は半年に一度程度の実施で問題ないと思いますが、新たにセキュリティポリシーを実施したり大きな改定を行った場合は、もっと間隔をせばめて集中して実施しないとセキュリティポリシーの定着が遅くなる恐れがあります。

　新たなセキュリティポリシー（ルール）を作って、習慣として実行するということが定着するまでには時間がかかります。もし、すんなり定着するようであれば、非常にユーザーのセキュリティ意識が高いか、仕事がひまで余裕があるかのどちらかでしょう。仕事が忙しいと頭では理解していても、体がセキュリティポリシー通りに反応しないのは、初めのうちはある意味仕方がないのです。

　そういう状態を早く是正するために月に一度の内部監査を実施するのをお奨めします。ただし頻度を多くすると当然のことながら、負荷がかかるので半年に一度行う内部監査とは違い特に守られていない（守りにくい）セキュリティポリシーについてだけ実施したほうが、ユーザーの人達のコンセンサスも得やすいし、多くの項目を監査するよりも少ない項目のセキュリティポリシーを集中して覚えてもらえます。

　管理する側の論理では、早く多くのセキュリティポリシーを遵守してもらいたいというのが、心情ですがここは敢えて遠回りしたほうがかえって抵抗も少なくユーザー側に取り入れられると思います。「監査」という言葉自体、「悪いところを指摘しにくる」というイメージがあって、歓迎されることは絶対にありません。まず、絶対にいやがられるでしょう。セキュリティの責任者として、「いやがられる」のは、ある程度仕方がありませんが、「きらわれる」のは、セキュリティの事故情報や、相談事をしてもらうのにネックになりかねないので出来れば避けたいことです。

　今回は、内部監査を例として取り上げましたが、セキュリティ教育なども「導入期」「運用期」に分けてやり方を考えていかないと、なかなか軌道に乗らない結果になりがちです。セキュリティポリシーを導入して運用していくときには、効果的に定着する「導入期」の方法をしっかり考えるのも重要なことになります。また、導入の状況を見てフレキシブルに、セキュリティ教育や内部監査の実施時期、実施方法を変えていくことも重要なことです。