人的セキュリティは、ルールを守ることもその一つである。

ルールと言えば、セキュリティポリシーですね。
でも、セキュリティポリシーでは、詳細な実施手順にまで踏み込まないですよね?
そう。実際には、情報セキュリティポリシー3階層目の「実施手順、規定類」が実際ルールだろう。
以下がその例で、パスワードの運用ルールである。
技術面での対策も含まれているが、運用面の対策も多い。
社内規定によって罰則が盛り込まれれば、社員のセキュリティ遵守の意識が高まるだろう。

でも、パスワードを厳しくすると、
覚えやすいものにするとか、
紙に書いて貼ったりすることが多くなりませんか?
そうなんだ。1ヶ月に1回変える」「以前のパスワードは使えない」「8文字以上で英数特殊な…」などとやると、運用上無理になり、そうなる。運用できてこそルールだね。

ルールと言えば、セキュリティポリシーですね。
でも、セキュリティポリシーでは、詳細な実施手順にまで踏み込まないですよね?
そう。実際には、情報セキュリティポリシー3階層目の「実施手順、規定類」が実際ルールだろう。
以下がその例で、パスワードの運用ルールである。
技術面での対策も含まれているが、運用面の対策も多い。
社内規定によって罰則が盛り込まれれば、社員のセキュリティ遵守の意識が高まるだろう。
・パスワードを保存する場合には、その内容を暗号化すること ・パスワードを送信する場合には、その内容を暗号化すること ・利用者に対し、定期的にパスワードを変更するように促すこと ・利用者が自らパスワードを変更できること ・利用者が定期的にパスワードを変更していることを、管理者が確認できること ・利用者が定期的にパスワードを変更しないと、その利用者はシステムを利用できなくなること ・破られやすいパスワードは設定できないこと ・それまでに利用していたパスワードは再設定できないこと。 図2 パスワード管理に関するセキュリティ要件(H20SU午後Ⅱ問1より引用) |

でも、パスワードを厳しくすると、
覚えやすいものにするとか、
紙に書いて貼ったりすることが多くなりませんか?
そうなんだ。1ヶ月に1回変える」「以前のパスワードは使えない」「8文字以上で英数特殊な…」などとやると、運用上無理になり、そうなる。運用できてこそルールだね。