(1)「知る必要」に基づく原理
職務上必要な情報にのみ参照するように制限する。
(2)「する必要」に基づく原理
職務上必要な情報のみ処理するよう制限する。
(3)「相互牽制」の原理
職務を二人に担当させ相互に牽制を掛ける。
(4)「定期的移動」方法
定期的に職務を交代させる。
しかし、いくらルールを定めてもそれを実施するのが、生身の人間である事を忘れてはならない。この徹底を倫理的セキュリティと呼ぶ。これは道徳心や良心、常識などにより個人が自発的に守るセキュリティを意味する。実生活で「出掛ける時に戸締りする」は常識であっても、「自分のコンピュータにパスワードを正しく設定する」は果たして常識となっているであろうか。特に注意しなければいけないのは、この倫理的セキュリティは、先に説明したクラッカーのソーシャル・エンジニアリングの糸口となる事である。「自分の自転車のチェーン鍵の番号をチェーンに付けたままにする人はいない」はずである。しかし「事務所のディスプレーにパスワードを書いたメモを張っている」場合がある。現実世界で「道に落ちているお菓子を拾って食べる人はない」が、しかしサイバー上では、「知らない人から送られてきたメールに添付されているファイルでも、つい開いてしまう」可能性が高いのが実情である。あるいは初めて訪問したホームページで、「便利なツールだと言って紹介されているプログラムを、ついダウンロードし実行してしまう」事も多いと思われる。このプログラム、ファイルはに汚染されている可能性があり、ワクチンソフトによるチェックが不可欠である。このような倫理的セキュリティはサイバー社会の普及速度に感覚が追いつかないので、使用者に感覚的にギャップがあるのが現状だが、今後のエンドユーザ・コンピューティングのますますの普及により倫理的セキュリティの重要性が増している。この倫理的セキュリティは最近言われている「ネチケット」の範疇に入り、この「ネチケット」の啓発を目的としたホームページも開設されているので、一読して欲しいものである。
管理的、人的、倫理的セキュリティにおいても技術的対策と同様、運用ルールの策定(計画)、ルールに基づき組織を構成し運用管理を実施する(実施)、またルールに沿って運用されるよう徹底し見直す(監査)、このサイクルをスパイラルに回す必要がある。勿論技術的対策と非技術的対策は相互補完関係にあるので、同時に検討が必要である。
