第3回 セキュリティ分科会 議事録

第三回(2002/3/1)セキュリティ分科会 議事録
講師: ウルシステムズ株式会社 丸重裕子 様
講演内容: 「セキュリティポリシーを実践するためのe-Learning活用」
e-Learningの活用のご紹介の前に、実践的な情報セキュリティ社内構築のポイントを成功例を交えながら紹介していただいております。
セキュリティポリシーやセキュリティ管理組織を社内に構築した企業は 多いが成功して効果を上げている企業は少ない。企業内に情報セキュリティ を浸透させるにはいくつかのポイントがある。
 
情報セキュリティは企業経営の問題であり、その活動はトップダウンで行われる必要がある。
企業文化に合った活動でなければならない。
継続的であり、最新の動向に対して迅速かつ柔軟に対応できる活動でなければならない。
セキュリティポリシー運用のポイント
 
セキュリティポリシー社員周知には、理解しやすい形で事例等を用いて身近に感じさせる事が重要。
セキュリティポリシーの順守は社員の義務として違反に対しては罰則等を設ける事が必要。
また、積極的に遵守する姿勢・行為に対してプラス評価する仕組みも場合によっては有効。
セキュリティポリシーを定期的かつ必要に応じてチェックし柔軟に改訂していく事が必要。
セキュリティ教育
 
集合講習 e-learning等があるが、状況に応じて効果的な教育方法を選択する事が重要
スキル・社内での立場・に合わせたカリキュラムが必要であり、事例を利用し理解しやすく身近に感じられる内容であることが重要である。最新情報が織り込まれていることが重要。
外部の専門家の講演等により、社外の情報セキュリティ対策の動向を理解させると効果的。
また、スローガンやグッツなどを使い、日常的に意識させ啓蒙する。
特にマネジメント層には、ケースステディ等で実際にリスク評価を行わせ、損害等を数値化し意識を高める必要がある。
e-learning
 
  ネットワークやコンピューターを利用した学習法(e-learning)が注目されている。
場所/時間を選ばない
スキルに合わせる事が容易
履修状況等を簡単に把握できる
  上記以外にも様々な利点があり現在企業のセキュリティ教育で注目されている。
反面、多彩な展開(製品的にも多種多様な物が販売されている)が予想できる為、受講者側・管理者側の要件や企業個々に合った機能等の要件を満たす製品 を選択する必要がある。
また、e-learningを導入しても利用されなければ意味 がないので、導入時にはそれが有効に活用される運用管理についても考えなければならない。
e-learning【デモ】
  実際にセキュリティポリシーサイトをご紹介いただき、その機能や効果などをご説明いただいた。
質疑応答
 
ポリシー構築・社員に対してのトレーニングは行っている。
実際の効果が上がらず困っている。(e-lerningの履修率が悪いどうすればよいか。)
A 意識をかえるのは難しい。継続が必要。プラス評価を導入したらどうか、セキュリティポリシの遵守は社員の義務と位置付ける。経営人への意識付けが必要。
部門別に競争させる(参加者よりコメント)

Q 市販している教材に良いものがない、自作するしかないのか
A 最新の物を使う必要がある。(コンテンツは自作が有効)
コンテンツを作るツールをサポートしているベンダーもある。
IPAの実例集は面白い。(最新情報を入手できる)
警察庁からは啓蒙用のスクリーンセイバーを提供している。

Q 社内ITセキュリティ組織を運営しているが様々な社内規定がからんでくるのであまりにも広義にとらえられてしまっている。各論で反対されるケースがあり、他の規定が多すぎてスムーズな運営が出来ない。
A (参加者よりコメント) 
・コンピューターを使用するリスクを社員にPRする役目として割り切る
・部門を越える立場で調整できる事も重要
・各規定を事前にセキュリティに関する部分だけ抜き出しリンク付けするだけでよいと考える。
・BS7799を参考にする。チェックリストとして用いる。日本の安全対策制度は有効なのでリンクする必要がある。

Q 複数のウイルススキャンソフトを使う必要性
A (参加者よりコメント)3段(三種類)構えでウイルス対策を構築している。
・効果は期待できるが、費用対効果を考えると疑問が残る。単品でも継続的な運用に注力する事が重要。

Q e-learningの良い製品を探しにきた パッケージ製品はどうか。 社内教育を効率的を上げたい。
A パッケージ製品としてのマイナス面は最新の情報の取得が難しいのと企業のセキュリティポリシーとリンクされていない事。
継続的かつリアルタイムに最新情報に更新するには、社内でコンテンツを更新できる仕組み必要。
ASP的なサービスがあるといいと思う。
e-learningの利点は、ある例によると情報量5倍 コスト1/3といわれている。

  パッケージ製品としてのマイナス面は最新の情報の取得が難しいのと企業のセキュリティポリシーとリンクされていない事。
継続的かつリアルタイムに最新情報に更新するには、社内でコンテンツを更新できる仕組み必要。
ASP的なサービスがあるといいと思う。
e-learningの利点は、ある例によると情報量5倍 コスト1/3といわれている。