初めまして。老けた新人、まるやまです。

情報セキュリティに関するお話です。

まずは下記の事故事例を。

■ケース１

会社のPCを許可無く持って帰宅。途中で飲み屋に寄り酔って帰宅中に、PCをカバンごと紛

失した

＜規則＞

・PCを許可無く持ち出すことは禁止されている

・PCに限らず申請して持ちだしたものを自宅に持ち帰る場合は、紛失しないよう管理する

　義務あり

■ケース２

取引先の会社に訪問し、個人所有のUSBメモリからデータを取引先会社PCにコピー。その

結果取引先会社のPCをウイルス感染させてしまった

＜規則＞

・個人所有のUSBメモリは使用禁止

・許可の無いUSBメモリの持ち込み禁止

・許可を得て持ち込んだUSBメモリも使用前にウイルスチェックが必要

上記ケースはいずれも「よくもここまで」というくらい見事に規則に反しているものです。

このような事故を起こしてしまった人も、まさかこんなことになろうとは思ってもみなかっ

たことでしょう。

情報セキュリティの問題は、今やITに関わる者にとって知らぬものはいない、といっても

いい問題であると思います。プライバシーマークなどのセキュリティ関連の認定を取得し

ている会社も多数あります。にも関わらずセキュリティ事故は起こり続けてます。事故と

はならないセキュリティ事象も含めれば、途方も無い数の問題が発生していることになり

ます。

何故事故は発生するのでしょう？　セキュリティ教育を定期的に受け、情報セキュリティ

に関する様々な情報に接していて、それでも事故を起こしている、というのが現状です。

ここでちょっと話を変えまして、、、

情報セキュリティではありませんが、某漫画にて、主人公が暗殺や誘拐といった犯罪から

身を守るための講習会を実施する、という話がありました。一通り話が終わった後の質疑

応答で、ある参加者から「そのような知識は皆知っているはずだ。それでも被害にあうと

いうのが現状だろう」という指摘を受けます。「ではどうしたら身を守れるのか」という

問に対する主人公の答えはこうでした。

「徹底すること」

質問者はこの答えに感銘を受け・・・、というお話です。

話を戻します。

情報セキュリティ対策についても同様です。

何をしていいのか、悪いのか、皆知ってます。知っているだけでなく実践もしているで

しょう。

であれば、後はこの実践を「徹底すること」です。

規則は指針に過ぎません。あくまでも私たち自身の意識、行動によります。

私たち自身が高いセキュリティ意識を持ち責任ある行動をする。そしてそれを「徹底する

こと」こそが、あるべき情報セキュリティ対策であると考えます。