![e-tracker5[イートラッカー5]](../images/header_logo.gif){kind=logo}
ケース:1 社員のセキュリティポリシー遵守状況の「見える化」とその効果
状況
- セキュリティポリシーを決定し、全社に周知した。また、社員に必要な研修も行った。
- 社員はルールを守ると思うが、本当に守っているかどうか、どう判断すればよいのだろうか。
- 個人情報保護法への対応として、情報漏洩対策ソフトのセキュリティプラットフォームを導入していた。たしか、操作履歴(ログ)を記録して保管してある。
当時は何かあったときのための調査のためだけにログを取得していた。 - このログから、社員がどのようにPCを使用して、セキュリティポリシーを守っているのか、確認できるのではないか。
ログ分析
アプリケーション:
ポリシー違反のフリーウェアやゲームなどのAPを多く使用していることが判明した。
WEB:
業務に無関係のサイトを多くの社員が閲覧していることが判明した。非常に問題があるサイトを見ている社員がいることも判明した。
メール:
メールの送信数や受信数が異常に多い社員がいた。社内で許可されていない個人のメールアドレスでメールを送信している社員が多数いることが判明した。
操作:
アクセス禁止ファイルに何度もアクセスしている社員がいることが判明した。
解決
- セキュリティポリシーは守られていないことが判明した。
- セキュリティポリシーが守られていないこと及び、セキュリティポリシーの遵守徹底及び、今後、ポリシー違反があった場合には、個人的に調査、指導の対象となる旨、社内に周知した。
- 1ヶ月後にログ分析を再度実施した。
ポリシー違反数は激減した。ただし、特定の社員の行動に改善が見られなかった。上司に連絡し、上司により状況の確認と指導を行った。 - 定期的にログ分析を実施することで、セキュリティポリシーの遵守状況を数値として把握することができるようになった。
付加価値
- 使用ユーザ多いアプリケーションを使用可能とするなど、セキュリティポリシーの改善も可能となった。このような改善により、業務の効率化を推進することができた。
- 業務時間内に業務に無関係なWEBサイトへのアクセスやアプリケーションの使用が減り、残業が削減できた。
- 最初はログ取得により監視されていることに社員の反発もあったが、定期的にログ分析を実施し、結果を周知することを継続した。 加えて、ログデータの数値を根拠にポリシーを変更することも可能としたこともあり、次第に、セキュリティポリシーを遵守することを当然とする社風となった。
