ITは、さまざまなビジネスの現場において利活用が進む一方だ。そして、企業が保有する個人情報や技術情報といった機密情報を狙う攻撃者は後を絶たない。2冊目の教本としてお勧めしたいのが、経済産業省がまとめた「サイバーセキュリティ経営ガイドライン」だ。
これは、社長や取締役といった経営者であれば「読んでいない」と言ってはならないものだ。だが、ガイドラインに記載されたサイバーセキュリティに対する考え方や心構えといったものは、新社会人であっても確実に役に立つ知識となり得る。
2017年11月に改定された箇所については、本連載の前号でも詳しく取り上げたので参照してほしい。ここでは、あらためて「3つの原則」を紹介しよう。
つまり、セキュリティ対策は経営者がリーダーシップを取って、「経営課題」として進めるべしということだ。情報システム部や従業員がどんなにがんばったとしても、経営層の意識が足りなければセキュリティ対策は進まない。もしも社長に気概が感じられなければ、このガイドラインを印刷して机の上にそっと置いておくべきだ。
では、新社会人をはじめとする従業員は、このガイドラインをどのように読むべきか。PDFはわずか32ページにすぎないが、「重要10項目」それぞれに「対策を怠った場合のシナリオ」と「対策例」がまとめられている。全項目が直接、自分の行動に直結するものではないが、セキュリティインシデントが発生させた場合、自分が所属する会社に対してどのような不利益が生じるのかが感覚的につかめるようになるだろう。
重要10項目の1つに「指示5 サイバーセキュリティリスクに対応するための仕組みの構築」とある。これは、攻撃を検知するための体制を整えよという指示だが、新社会人であれば「何かがおかしいと思ったら、上司に必ず報告せよ」と読み替えるといいだろう。
例えば、自分が使っているPCがいつもと違う挙動になっている、普段みかけない人間がオフィス内にいる、見たことがないデバイスがLANにつながっているなど、違和感を抱くことが重要だ。不審なものを発見したら適切なルートで報告することも、立派な「仕事」の1つだ。報告先が分からなければ、先輩社員や上司に相談すればよい。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。