セキュリティの分類(3) - 人的セキュリティ - Short Octopus の独言(はてな)倶楽部

「セキュリティの分類」三回目です．「人的セキュリティ」について説明します．

人的セキュリティ

情報セキュリティの中で最も厄介なのが「人」です．どんなに最先端の技術を使っても，最終的には人が関与したとたんに，セキュリティが弱くなってしまいます．

車でいえば，どんなに強固に守っていても，不良息子が鍵を持ち出して，他人に貸し与えていたのでは，セキュリティの意味がありません．鍵の管理だけでなく，子供のしつけが重要になります．
コンピュータの世界でも同様です．どのように利用するか，どのように管理を行うかなど，「規範」を決めなければなりません．企業の中にあっても，一般家庭の中であっても，「ログインIDは別々に使用しましょう」というような取り決めを行うことが人のセキュリティです．このようなセキュリティは “Human Resource Security” と呼ばれることもあります．

後述する組織セキュリティ(“Enterprise Security”)は，企業のような組織体に必要とされるセキュリティですが，人的セキュリティがベースになっています．人的セキュリティと組織セキュリティは明確に分けられないものもありますが，ここでは，人的セキュリティとして一般に必要となる項目を4つ挙げておきます．

1.ID(ユーザ名)の利用方法

ユーザを識別するIDの利用方法に関する取り決めを行います．例えば，「一つのIDを複数の利用者で共有しない」などです．

2.パスワードとその管理方法

パスワードの決め方やそのパスワードの管理・保管の方法の取り決めを行います．例えば，「誕生日などをパスワードにしない」，「パスワードを書いた付箋をモニターに貼り付けない」，「電話では伝えない」などです．

3.バックアップ

バックアップの方法や実施・管理者，管理方法などに関する取り決めを行います．例えば，「週に一回バックアップを取る」，「バックアップは息子の役目」，「災害にも備えて遠隔地にバックアップを保管する」などです．バックアップは「コンピュータはいつかは壊れるもの」という前提に立ったセキュリティです．一般家庭と企業とでは費用のかけ方や作業の方法などは異なりますが，基本的な考え方は同じです．

4.セキュリティ教育

セキュリティ教育をうけること，あるいはセキュリティ教育を実施することが必要です．立場によって「受ける」「施す」という違いはありますが，情報セキュリティがどのようなものであるかを自ら知って業務行ったり，インターネットを利用することが大切です．経営者の立場では，後述の「組織のセキュリティ」を確実にするために，従業員に教育を受けさせ，周知徹底する必要があります．一般の方々は，なかなか情報セキュリティの教育を受ける機会というのはないかもしれませんが，経済産業省とJNSA(Japan Network Security Association: NPO 日本ネットワークセキュリティ協会)が各地域で開催している「インターネット安全教室」などに参加してみるのもよいでしょう．