セキュリティポリシーを記した文書によって、期待通りの行動を引き出すには
- 高次のポリシーに焦点を当てる。指針や手順を記した文書において、「方法」について詳述するのではなく、「実行すべきこととその理由」から乖離しないようにしてほしい。
- 重要性の高い内容から順に記述していくようにする。ポリシーや要求に従うことの利点といった、重要な情報がポリシー文書の後ろの方に埋もれてしまわないようにしてほしい。記述しておくべき事実はすべて、最初の2〜3文で記述しておくようにすべきである。
- 5つの本質的な疑問を核にして文書を組み立てる。ポリシー文書の最初の段落を書く際には、「いつ」「どこで」「誰が」「何を」「なぜ」という疑問に対する簡潔な答えを含めておくようにしてほしい。そして、文書中の以降の段落において、こういった疑問に対する答えの裏付けを記述する。すべての答えが詳細や例によってしっかりと裏付けされた時点で初めて、文書が完結したことになるというわけだ。
(備考:「いつ」や「どこで」という疑問に対する答えは、別添の指針や手順を記した文書に記述した方が適切となる場合もある。) - 問題と解決策の双方を記述する。読み手の役割を明確にしたうえで、個人やグループが分担して簡単な役割を担うことで問題の解決につながるという例を示すように心がけてほしい。
- 取っつきやすい平易な言葉遣いで記述する。ポリシーの重要性を伝えようとすると、その論調が押しつけがましく、高圧的になってしまいがちだ。ポリシーの重要性は、問題について説明することで伝えるようにすべきであり、読み手を威圧してしまわないよう、語りかけるような調子で記述するように心がけるのがよいだろう。
ポリシーが読み手にどのような印象を与えるのかを知るために、声に出して読んでみてほしい。また、語りかけるような調子で記述する練習として、ビデオの脚本を書くつもりでポリシーを記述してみてほしい。視聴者にとって親しみやすい言葉遣いで記述できたのであれば、そのポリシーを伝えるための文書だけでなく、ビデオも利用できるようになるはずだ。 - 読み手に納得してもらう。ポリシーの内容をしっかり理解しておくことでどのような利点が得られるのかを読み手に理解してもらう必要がある。これらの利点については文書の最初の方で、例とともにまとめておくのがよいだろう。
役割上、さまざまな文書を作成しなければならないのであれば、上記で紹介したような訓練コース(オンラインでの短期プログラムでも、本格的な学位取得コースでも構わない)の受講を検討するのもよいだろう。こういったスキルによって被雇用力の向上を図ることができるだけではなく、雇用のさらなる安定性をもたらす補完的なキャリアパスも手にすることができる。
効果的なセキュリティポリシーの書き方については、SANSのセキュリティポリシープロジェクトやSANS InfoSec Reading Roomも参照してもらいたい。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
