リスクに対する従業員の理解を深める ■第2回■

■ セキュリティ意識の向上

＜目次＞───────────
前回
1．はじめに
2．変わりゆく脅威の全体像
3．今日の規制環境
今回
4．セキュリティ意識の向上
5．ベスト・プラクティス
6．結論
───────────────

4．セキュリティ意識の向上

　こうした環境では、企業の全従業員が情報セキュリティの問題を理解し、リスクを最低限に抑える方法で行動することが、非常に重要です。セキュリティを意識した事前の対応を通じて、企業情報の保護に必要な知識を従業員に提供し、企業のセキュリティ体制の改善を可能にするのが、セキュリティ意識プログラムです。企業は、こうしたプログラムの推進に、力を尽くさなければなりません。公衆通信回線経由のビジネスが増加している現在、企業はこのようなプログラム抜きには成り立たなくなっていると言っても過言ではありません。

　効果的なセキュリティ意識プログラムは、トレーニングやコミュニケーション手段を提供して、企業が従業員のセキュリティ意識トレーニングに関する規制要件を満たし、従業員のセキュリティ意識を高めて、脆弱性を低減する助けとなります。こうしたプログラムは、セキュリティ業界のベスト・プラクティスや、国際的なセキュリティ基準（ISO 17799の規定など）を基盤にする必要があります。

　セキュリティ意識プログラムは、従業員が日常の業務で使用できる知識やベスト・プラクティスを提供し、従業員がサイバー攻撃や不正アクセス、詐欺行為からの機密情報の保護に積極的に参加する企業文化を作り出すことで、企業による規制要件の準拠と、機密情報に対する脅威の管理強化を可能にします。

5．ベスト・プラクティス

　では、セキュリティのベスト・プラクティスには、何が含まれるのでしょうか。以下は決して完全なものではありませんが、Symantec Internet Security Threat Reportの最新版で紹介されたものです。

　* 不要なサービスはオフにするか、または削除する。
　* 複合型の脅威が1つ、または複数のネットワークサービスを悪用する場合、パッチが適用されるまで、それらのサービスを無効にするかアクセスを遮断する。

株式会社シマンテック
http://www.symantec.co.jp/

この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd