【第6回】「企業の現状を『見える化』し、セキュリティ統制基盤の強化へ」（後編）

社員全員のセキュリティ意識が大事

　「クライアントPCのセキュリティパッチが当たっていない」、「機密情報への不要なアクセスがあった」、といったセキュリティホールが見つかったなら、社員への告知を行い、セキュリティ統制を目指そう。セキュリティ統制は社員の理解があってこそのものだからだ。

　「セキュリティ統制」、「ログ管理」という言葉は、とかく社員に窮屈なイメージを抱かせがちだ。だが、その目的は社員を縛ることでも、罰することでもない。不透明な状況の中で嫌疑をかけられないよう、社員を守るためにあるのだ。そのため、究極的にはセキュリティホールは社員1人1人のセキュリティ意識から生じる、ということを自覚してもらうことが重要である。ならば管理する側も「何も問題がないのが当たり前」という姿勢ではなく、何も問題がない状況を積極的に奨励し、社員のセキュリティ意識を日頃からに高めておくことが大事ではないだろうか。

　このように、セキュリティ統制のポイントは、社内のIT資産やその利用状況といった現状の把握を行うことだと言える。それに加え、「ツールによるセキュリティには限界があります」とクオリティが話す通り、社員教育も重要である。社内の状況を公開し、改善することにメリットを設けるなどの対応が必要となってくる。

セキュリティ統制を中核にしたIT統制

※クリックすると大きい画像を表示します。
IT統制の実現には企業全体の状況把握が必要である。そのプロセスにおいて中核となるのが「セキュリティ統制」だ

　単純にツールを導入するだけではセキュリティ統制は実現できない。繰り返しになるが『IT資産の把握』、『初期監査の実施』、『対策の実施』、『監査レポートの発行』という4つのステップを常に回し続けるのと同時に、社員の意識を高めながら対策を進めていくことが重要。企業のそうした取り組みを支援しているクオリティの各ソリューションは、必ずやセキュリティ統制を推進する、強力なエンジンになるだろう。