情報セキュリティ事故報告の現実: 理想と現場のギャップに焦点を当てて
顧客企業でISMS(ISO27001)の審査を行っていると、いろいろな状況に出くわします。
今日は、その中から情報セキュリティ事故が起こったときの報告の重要性についてつぶやいてみたいと思います。
読者の皆様の会社では、情報セキュリティ事故は年間に何件ほど発生しているでしょうか?
筆者はISMSの審査時には情報セキュリティ事故については必ず質問しますが、組織の責任者の多くは、「当社ではここ数年にわたり情報セキュリティ事故は発生していません」と言われます。
専任の担当者がいて、毎年しっかりとした情報セキュリティの教育を行い、規程を整備し、定期的に注意喚起を全従業員に実施している会社であればそうでしょう。しかし、どの会社もそのように運用できるでしょうか?情報セキュリティ事故を起こした時、会社のルールに従って報告するということが、適切に機能しているでしょうか?つまり、情報セキュリティ事故が発生しても報告せず、現場で“勝手に対応”していることは無いでしょうか?
見過ごされがちな情報セキュリティ事故: 誤送信の隠蔽問題
ここからは推測になりますが、最近は会社で毎年行う情報セキュリティ教育でサイバー攻撃による影響を周知しており、さらに日々のテレビやインターネット、新聞等の報道でもランサムウェアによる被害を見聞きすることもあるので、ウィルスに感染した場合、当事者は「ヤバイ」と思って報告すると思います。また、物品の盗難や紛失(スマホや社員証、USBメモリ等の盗難、紛失)は報告しないと業務に支障があるうえ、定期的な物品棚卸など後で発覚した場合は叱責程度では済まなくなるので報告するでしょう。
しかし、筆者が問題と考えるのは、現場でもみ消せる可能性がある「メールの誤送信」、「FAXの誤送信」、「郵便物の誤郵送」など誤送信、誤郵送などです。これらは、誤送信・誤郵送先との日頃の関係にもよりますが、言葉巧みに相手先の担当者に話し、もみ消すことも可能でしょう。このような情報セキュリティ事故の場合は決して管理者に報告があがりません。その結果、管理者は「当社においてはここ何年も情報セキュリティ事故が発生していません」と回答することになってしまいます。
情報セキュリティ事故報告の文化: 従業員の報告の壁を突破する方法
責任者は情報セキュリティ事故の規程を整備し、どのような事故でも報告するよう、教育で周知しているでしょう。しかし、従業員は、報告することで上長から叱責されたり評価を下げられたりすることを恐れたり、面倒だということを理由に報告していないのかもしれません。すぐ報告しないことにより対応が遅れ、場合によっては影響がより大きくなることを認識していないことは重大な問題です。従業員には、情報セキュリティ事故を起こしても、対応がしっかり取られていれば叱責せず評価に影響しないということを理解してもらうことも重要だと考えています。さらに言うと、ヒヤリハット(例えば、メール送信前に宛先間違いに気づいた等)レベルまで収集している企業は情報統制がしっかりとれていて、重大な情報セキュリティ事故が起こるリスクは非常に低いと思います。
情報セキュリティの予防と管理: 教育と報告の体系的アプローチ
情報セキュリティを構築し運用していくことの目的の一つとして、「重大な情報セキュリティ事故を起こさない」ということがあると思います。
そのためには、
1.従業員に対する情報セキュリティ教育の実施
2.情報セキュリティ事故が発生した時の報告ルールの取り決めと全従業員への周知
ここで、先ほどのヒヤリハットも報告に含めるとなお良いでしょう
さらに、報告を怠った場合のペナルティについても言及しましょう
※ただし、同じ人物が同じ原因の事故を何度も起こしたのではなく、ルールに則って
いてもちょっとした過失で、しかも発生後すぐにルールに則って報告したので
あれば口頭注意程度で済ませて良いのではないでしょうか
3.発生した事故を全従業員に周知(事故の内容、原因、対策)して、同じ原因による情報
セキュリティ事故の再発を防ぎます
これらを継続することで徐々にではありますが、情報セキュリティ事故の発生が減少します。さらに重大な情報セキュリティ事故の発生も無くなってくるでしょう。
今日のつぶやきで、情報セキュリティ事故が発生した時の報告の重要性と、報告漏れを無くすための対策について理解いただければ幸いです。