――「現状把握」がセキュリティポリシー作成の”要”
　ネットワーク管理のプロセスは、セキュリティポリシーの作成プロセスと同じ「現状把握」→「分析」→「問題抽出」→「対策」である。
セキュリティポリシーの作成は難しいといわれるが、それは「現状把握」を十分に行なえていない結果だろう。例えば、メールのセキュリティポリシーを作成するときには、私用メールの数や、会社として送って欲しくないメールの定義が必要になる。
けれども「現状把握」が十分に行なえていない状態では自社の現状ではなく、世間一般を指標とせざるをえなくなる。 そして、情報漏えいを起こさないため、とばかりに禁止の項目を決定し、運用に耐えられなくなるケースが多い。


――セキュリティ対策に終わりはない
　セキュリティ対策を実施する上で、何をどのように実施するのかを検討し、セキュリティポリシーを策定しお金をかけてツールの導入を終えると、それがセキュリティ対策の“ゴール”となっていることがよくある。
果たしてそれがゴールなのか・・本来はスタートと考えるべきである。

　セキュリティポリシーを厳守するために、ツールが効果的に活躍しているのか、誰がポリシー違反をしているのか、どこに本質的な問題があるのか、など、ここからが本格的な対策となるはずである。
　以前はセキュリティポリシーの策定は難しく、かつコストがかかると言われていたが、今はセキュリティポリシーを策定したのだが全く実行力を持たない、という声が聞かれるようになった。つまり、セキュリティポリシーという書面が成果物となっており、 管理・維持・運用の体制と責任が非常に曖昧なのである。
ポリシー違反があっても、「ちょっとしたミス」「こういうこともある」「まぁ、いいか・・」の連続で、ポリシーを厳守している人も違反している人も何も変わらない日常を過ごしているのである。 これではゴールどころか、何のためにスタートしたのか？ということまで考えなくてはならない。

PマークやISMSは、対策の中身そのものよりも、セキュリティ対策を実行する体制と責任などについて多く言及されているものである。セキュリティ対策にゴールはないのである。
実行レベルで対策するときがスタートであり、セキュアな環境を維持し続けることが重要である。 勝手にゴールを決め込んで、セキュリティは投資対効果が不明であるとか、お金がかかる・・などとぼやいていては、 ゴールどころかスタートすら見える日はこないのではないか。

現状把握から問題抽出までをLanScope Catで実現することができます。

具体的には、LanScopeで現状把握から問題抽出までをレポート化し、ユーザはそのレポートを見て最終的な対策を行なうだけで容易に運用ができるます。
これによって、PCのハードウェア・ソフトウェア、操作状況といった現状把握が行なえ、実態に伴ったポリシーの作成および、制定したセキュリティポリシーに反した行動がないかを確認することも可能です。