人的セキュリティは、ルールを守ることもその一つである。
情報セキュリティスペシャリスト試験を目指す女性SE

ルールと言えば、セキュリティポリシーですね。
でも、セキュリティポリシーでは、詳細な実施手順にまで踏み込まないですよね?
そう。実際には、情報セキュリティポリシー3階層目の「実施手順、規定類」が実際ルールだろう。

以下がその例で、パスワードの運用ルールである。
技術面での対策も含まれているが、運用面の対策も多い。
社内規定によって罰則が盛り込まれれば、社員のセキュリティ遵守の意識が高まるだろう。
・パスワードを保存する場合には、その内容を暗号化すること
・パスワードを送信する場合には、その内容を暗号化すること
・利用者に対し、定期的にパスワードを変更するように促すこと
・利用者が自らパスワードを変更できること
・利用者が定期的にパスワードを変更していることを、管理者が確認できること
・利用者が定期的にパスワードを変更しないと、その利用者はシステムを利用できなくなること
・破られやすいパスワードは設定できないこと
・それまでに利用していたパスワードは再設定できないこと。
 図2 パスワード管理に関するセキュリティ要件(H20SU午後Ⅱ問1より引用)
情報セキュリティスペシャリスト試験を目指す女性SE
でも、パスワードを厳しくすると、
覚えやすいものにするとか、
紙に書いて貼ったりすることが多くなりませんか?
そうなんだ。1ヶ月に1回変える」「以前のパスワードは使えない」「8文字以上で英数特殊な…」などとやると、運用上無理になり、そうなる。運用できてこそルールだね。