正常性バイアスと「行動規範」情報セキュリティ

正常性バイアス

情報セキュリティ事故は、サイバー攻撃による侵入など外部からの攻撃によって引き起こされるというのは大半の人が同意できると思います。一方、セキュリティ事故の多くがヒトの失敗・ルールからの逸脱に起因していることについてはどうでしょうか。ヒトには「正常性バイアス」があります。危機が目前に迫るまで「自分は大丈夫」という「確信」に基づいて判断・行動してしまうというものです。

正常性バイアスとどう付き合うか

何をすべきか、すべきでないかについて列挙し、共通認識を少しでも多く持っておくことは、事故のリスクを減らすことになります。サイバー空間に「道路標識」はないため、出会った状況に応じてどう行動するのか一人ひとりが分析・判断しなければならないのです。

管理者を含め全ての人が「知っている」から「理解している」レベルになるよう目指すことが組織としての責任であるとも言えます。そのことで、日常業務の遂行や設計に行動規範が組み込まれ「業務」と「行動規範」が一体化することは「道路標識」を設置することでもあるのだと思います。

また、全ての従業員が行動規範を遵守し情報セキュリティーを維持・レベルアップするための教育・研修を受ける義務と権利があることも大切な共通認識だと思います。情報セキュリティーに関する事故の責任は性質にもよりますが多くの場合「知らなかった」では免れないものだからです。

行動規範の項目を関連性に基づいてグループ化する 関連性に基づいてグループ化して分類すると次のようになのではないかと思います。

情報セキュリティの基礎

• 情報セキュリティポリシーへの同意と遵守

• 情報セキュリティに関する知識とスキルの向上

• 情報セキュリティに関する法律、規制、ガイドラインの遵守

• 情報セキュリティインシデント発生時の対応

情報資産の管理

• 情報資産へのアクセス管理

• 情報資産の私的利用禁止

• 個人情報保護法の遵守

• 情報資産の情報の収集・管理・分析

業務遂行と倫理

• 業務上知り得た情報の取り扱い

PCの管理

• 「善管注意義務」

• 情報セキュリティー上必要な注意・留意事項

報告・問い合わせ対応

• PCの挙動に関すること

• 事故の報告

継続的な教育と能力開発

• 定期的な教育・研修

• 内部検定・資格

• セキュリティーランドスケープのレポート

組織への貢献

• 最新のセキュリティ情報の周知

• 知見に基づく対策・回避策の策定

• セキュリティコミュニティへの参加

• セキュリティ資格の取得

柔軟な運用

• 組織の状況や情報セキュリティのトレンドの変化に合わせて改訂する。

まずはスモールスタートで修正しながら組織に合わせたものにしていくことが大切です。A4で何ページもある行動規範をいきなり示され「明日から守ってください」と言われてもても受け止めきれないでしょう。既存の共通認識を確かなものにするところから始めるのも良いのではないでしょうか。

行動規範の例を作成中です。今日はここまで。

タイトルを修正しました。
「行動規範」　情報セキュリティ→正常性バイアスと「行動規範」情報セキュリティ
文章を差し替えました。
認知の「脆弱性」を修正するためにはどうするべきか項目を書き出しました。これらが「行動規範」を作成するときの参考になるのではないかと思います。
　　　　　　　　　　　　　↓
認知の「脆弱性」を修正するためにはどうするべきか項目を書き出しました。これらが「行動規範」を作成するときの参考になるのではないかと思います。