セキュリティ対策は乾布摩擦だ

| Comments

※過去記事です。

セキュリティ対策は乾布摩擦だ! (ブレインバンクビジネス選書)

まぁまぁ面白かったです。 タイトルの意味は、 セキュリティは、何かシステムで一気に変えれば良いのではなくて、社員一人ひとりが小さなことを意識していくことが重要だというのが、 風邪を引かないようにするには、注射を打つのではなく日頃の乾布摩擦が大事だよ、ということに似ているからだそうです。

経営サイド

近年セキュリティ事故が相次いでいますが、クラッキングされるというセキュリティ被害は、全体から見るとあまり多くないようです。 大事なのは、クラッカーにも対応できるような最新の防御システムを刷新すればいいのではなくて、大切な情報を見極めて効率よく守ること。 江戸時代から変わらないシンプルなことに行き着きます。(この本は割と古いものなので、最近はもう少しテクノロジ寄りかもしれないけども)

風邪と同じで、いざかかってみないとそのリスクがわからなかったりしますが、事前にしっかりリスクの大きさや発生確率を見積もって、費用対効果の高いものを行っていく必要があります。 そしてそれは経営陣だけで意識すればいいことではなくて、個々の社員にも理解させ意識をさせることが大事になります。

得てしてセキュリティ会社は不安を煽るものです。 自ら問題を生み出して解決している。たしかに不安を払拭することは大事です。 しかし、わざわざ不安を煽られて払拭するのでは本末転倒で、やはりビジネスだから効率を考える必要があります。 新製品がどうとか、新たなクラッキングの手法とかの前に、まずはどこにいくら掛けるかです。

そして、セキュリティ事故の大半が、無知や不注意という事実があります。 まぁこの本も少し古いものですし、今メディアを騒がせているのは悪意のあるものでしょうが、実際にはその何十倍もの事故が無知・不注意から起きてると思います。 それを踏まえると、そもそも社内で機密情報をどう扱うかという問題になります。

労働者サイド

ここまで経営サイドの話をしてきましたが、事故の原因は大半が人だということで、労働者サイドの話に移りましょうか。

セキュリティ事故の大半は無知や不注意。労働者は経営者と違って情報漏洩のリスクを正しく認識できないし、そもそも気にしません。また人である以上不注意は起こりうる。

だから経営者は警戒して、労働者のことを考えて、誰にどのくらいの権限を与えるべきかということを考えます。 もし大事故を起こしてしまったら、会社だけでなく個人もただでは済みませんから。 リスクの高い人にはそもそも権限を与えないのが合理的なわけですね。

ここで問題になるのが、利便性とセキュリティは相反することが多いということ。 権限が少ないほど、ガチガチで動きづらい。PC作業一つとっても、アクセス制限やダウンロードの禁止、自宅に持ち帰ることはできない、など色々と不便だと思います。

また、管理をされすぎると不満が溜まったり、受け身の姿勢が増えます。グチに繋がりやすいかもしれませんね。

この状態を改善するには、自分が信頼されることが必要です。 経営者に近いリスク意識を持ち、日頃からそういった行動を心がけていれば、まっとうなところであればいずれ権限が増えていくでしょう。 そうすると結果として自由に動けるようになるのです。

まとめ

経営者

自分たちにとってどの情報が大切で、それにはどのくらいのコスト感で持って警戒をすべきなのか、費用対効果をきちんと考えて対策する。手段と目的を混同しない。 労働者達に対して、ミスをしたらどうなるかを納得させることが必要。社内のルールより倫理を磨く。

労働者

あれこれ縛られていると動きにくい。成果も上がりづらいだろう。 権限が与えられてないのは、それを教授するメリットよりリスクが大きいと思われているから。ならば、その不安を払拭してあげれば、徐々に裁量が増えていき、仕事がやりやすくなり成果も上がりやすいだろう。

ここには、ある種の信頼関係も必要になってきます。経営者の言うことに納得できるかと、社員のセキュリティ意識を信用できるかといったことです。

採用

最後に採用のことについて触れていたので簡単に。

近年、同じ一人でも生産性が数倍も異なる時代、また情報漏洩事故の影響が大きくなる中、安易に人を雇うと成果が上がらないばかりかマイナスだってありえます。社員との信頼関係が得られていなければなおさらです。

だから、人を雇う時にチェックし、雇用中は納得させ、退職時は円満に。同胞のように扱うことが大切でしょう。

おまけ

色々な本を読んでいると、普段の新人社員としての視点でなく、経営者としての視点も持てるような気がします。 そうすると、日々の上からの指示の意図もわかってきて納得感を持って行動ができます。例えばセキュリティ関連にしても、厳しい会社はとても厳しいですが、もちろん理由があってのこと。 個人情報とか流出させてしまったら会社どころでなく個人もとんでもない責任を背負わされてしまうから。 何より、僕らがそれを理解できれば、嫌々従うのではなく率先してセキュリティ対策に取り組めるはずなので、こういった視点は大切と思います。

Comments