USBメモリーの利用禁止:三輪信雄「ここが変だよみんなの対策」(情報元のブックマーク数)
USBメモリ禁止のルールだけでとめて、実際にとめない紳士協定のポリシーの問題点ですね
人は楽なほうに流れますので、それを歯止めができるポリシーというか、モラルをどうもってもらうかですね。
こういう事件が多発するため、多くの企業では「USBメモリーの使用禁止」なるルールが適用されていることと思います。私の知っている会社でも禁止されていますが、通達だけにとどまり、機能的に無効にされているのではないので、問題なくUSBメモリーを利用できてしまうのです。
USBメモリーの利用禁止 | 日経 xTECH(クロステック)
結局持ち出してしまう情報。何もしないのは、結局何にもしていない。あとで、社員に責任を取らせる。そのExcuseでポリシーを書くだけ・・・
1つ目は、そもそも有効に徹底されないであろう、ということ。熱心な社員はそれでも情報を持ち出すからです。あるいは悪意のある社員が仮にいたとしたら通達など何の意味もなく、むしろUSBメモリーを利用できないように制御されていたり監視されていないことを告知しているようなものなので、逆に犯罪を誘発してしまう可能性すらあります。
USBメモリーの利用禁止(2ページ目) | 日経 xTECH(クロステック)
2つ目は、もし社員に徹底させようとすると相当の労力が使われるであろう、ということです。単なる通達では徹底されるはずがないので、部署ごとのセキュリティ担当者を集めて、理由と内容の説明が行われるでしょう。それから各部署で社員を集め、説明会が行われます。そのオーバーヘッドは大きく、社員の業務を中断させてゾロゾロと会議室に集めて説明し、休んだ社員には後日さらに説明する、ということが行われます。もし、1000人の社員がいたら、諸々のコストを上乗せした時給で換算すると5000円/時×30分×1000人=250万円です。しかも、数カ月でその効果は薄れますから、年2回実施すると500万円が使われるのです。しかも、そこまでやって、どれだけの効果があるかは疑問です。
上手に使う方法と、逃げ方をキッチリ教えたら、いいんですよね。
結局ユーザは何がしたいかを考えて、そのやり方を教える
使いたい社員は勝手に覚えます。つまり「ルールを教え込む教育」よりも「利用方法を教える」方がモチベーションも高く効果が高いのです。
USBメモリーの利用禁止(2ページ目) | 日経 xTECH(クロステック)
もちろん、これらに加え、機密ファイルのコピーを禁止する仕組み、ファイルの操作を監視する仕組みなどを導入し、対策をより強固にすることもできます。このように「自然に体で覚える」仕組みを作った方が、本当に効果のある対策になるのです。
