筆者が提唱する周知方法「ビしし・メソッド」
やはり周知は、メールが主体で、次のような特徴があります。・メールの文字は目立つベタ打ちで、添付ファイルやリンクを見なくても分かる平易なものとする。・1通に含まれる内容は、1~2件・全従業員に一斉メールで送り、庶務担当などの中継の手間(忘れるかも)をかけない。・頻繁に送る。・末尾に関係ない興味を引く話を入れる。
MONTH
2024年8月
CSIRTからのよくある周知方法(アリバイ周知)
どこのCSIRTでも頻繁に従業員へ周知活動を行っていると思います。 従業員に伝えたい情報セキュリティの知識は、実に多いです。脆弱性情報だけだって、頻繁に相当な量の周知を行っているはずです。よくあるのは、メールに添付ファイルかリンクを掲載して、全従業員に送ります。庶務担当みたいなところへ送って、そこから全員に転送してもらうなんてことも多いのではないでしょうか。 私が思うには、「またか」とか「知ってい […]
まずはシステムでできる対策を
従業員の心がけだけで、インシデントをすべて防ぐのは無理です。 情報システム側の仕組みで、できるだけカバーすることを考えます。メール誤送信防止については、様々なソフトウェアが発売されています。また、きちんと証跡が残る仕組みにしておくことで、不正を発覚させることができ、不正を予防することもできるのです。 具体的なソフトの名称等はここでは、差し控えます。
従業員が起こすインシデントの要因(独自分類)
従業員がインシデントやイベントについては、私は、次の4つに分類してみました。1 不正2 面倒3 無知4 うっかり 1の「不正」は、悪いことを知っていて、故意に個人情報を持ち出して、売ってしまう、みたいなケースです。故意にやるので、情報システムなどの抜け道を探られたりします。知識はあるので、通常の周知では効きません。この不正については、「不正のトライアングル理論」もあるので、また別途考えたいところで […]