本日が初ブログです。
ブレインワークスの大西です。
従業員が定められたセキュリティルールを守らないということが原因の
漏洩事件が後を絶ちません。
セキュリティ研修をしたり、ルールブックを作って配ったりしますが、
どうもルールが定着しません。
従業員のレベルの低さを嘆きあう、というのがお決まりですが、
これには、ルールを作った側や研修をする側に原因があると
考えています。
というのも、セキュリティ以外の研修は、実務に生かされ、
効果をあげているからです。
最近、顧客のセキュリティ管理者からこんなことを言われました。
毎年研修をしているが、研修のときは皆真剣に聞いているようだが、
職場に戻ると、忘れ去ったようにできていない。
研修と現場が乖離している感覚がある。
この方、原因に思い当たる節があるようです。
●なかなかできないクリアデスク
簡単な例をあげましょう。
どの会社のポリシーにもはいっているクリアデスク
(机上の書類を片付ける)です。
セキュリティの事件事故をなくすための環境整備として、
その効果はセキュリティコンサルタントだけでなく、
企業のセキュリティ担当者も、従業員も理解はしています。
つまり、クリアデスクをすればセキュリティは高まる、
というわけです。
コールセンタースタッフなど、単一業務で、
発生する書類が限定的な職場なら
毎日、机の上は、モニタだけにして家に帰ることも可能でしょう。
一方、かなり強靭な意志を持たないとクリアデスクができない
業務・職場があるわけです。
これもひとつの例ですが、編集・デザイン業務などは書類も多く、
版も増えると、
毎日の片付け、クリアデスクが困難になってきます。
納期仕事のため、そもそも、今日帰れるのかという状況において、
クリアデスクなど優先順位でいえば最下位グループになるわけです。
編集・デザイン系以外にも、ホワイトカラーの仕事では、
生産性向上と称して仕事のやり方を解く本が多数出ていることからも
わかるように、机の上が散らかっていることが多いでしょう。
また、業種に限らず管理職という仕事は、社内の書類が
集まってくる仕組みになっており、
秘書など雇用できない中小企業では、
クリアデスクを指示する管理職のデスク周りが
一番散らかっているという笑うに笑えない状況というのは、
結構あるわけです。
「クリアデスクしろよ。・・・俺が一番やらないといけないけどな。」
というのが管理職の定番自虐ネタなわけです。
これは、現場とセキュリティ管理者が近い中小企業で起きる話ですが、
セキュリティ管理者が現場のことまで見えない、
大きい会社組織になってくると、
冒頭の話のように、研修では真剣に聞いてくれているのに、
どうして現場ではルールが守られないのだ、という話になるわけです。
●抜け道を探すリスクを考えているか
根本的には、セキュリティポリシーを作ったときに、
現場の業務を理解しないまま、あるいは理解はしていても、
セキュリティを優先してルールを作ってしまうことにあります。
ポリシーを作る前に、リスク分析をするわけですが、
このときに、漏洩するリスクを防ぐために、という視点だけなのです。
新たな漏洩対策をすることによって生じるリスクが
忘れ去られています。
ひとつは、業務が滞るリスク。
もうひとつは、ルールを守らないリスク。
最後に、抜け道を探すリスク。
事実上、後2つのリスクが顕在化することがほとんどです。
最近、世間を騒がせている公的機関の漏洩事件も、
個人情報を取り扱うネットワークと通常業務のネットワークを
分離していたにも関わらず、業務上の不便を解消するために、
分離したはずのネットワーク間を媒体でやりとりしたり、
パスワードをかける手間を惜しんだ(あるいは、後々面倒なので
パスワードをかけなかった)、ということが起きていました。
ルールを守らない、ルールの抜け道で業務をしているという状態を
放置するくらいなら、
多少、セキュリティが緩くても皆が守れるルールのほうがずっとまし
というものです。
守らなくてよいルールがひとつでもあると、すべて守らなくてよいのだ
というようになり、セキュリティポリシーが軽んじられる
結果になるからです。
下手すると、セキュリティ以外の業務ルールも守らなくていいではないか
ということにもなりかねません。
セキュリティポリシーを運用はじめたときには、
強制的にでも、セキュリティを厳しく伝えることは意識喚起の上でも、
セキュリティの普通のルールを伝える上でも大事です。
それが毎年続くと、現場と研修の乖離が始まるのです。
これからのセキュリティ管理者は、ルールを守らなくなるリスクや
抜け道を探し出すリスクにも目を向ける必要があります。
ところで、皆さん気になることがありますね。
「ホワイトカラーで、管理職で、セキュリティコンサルタントも
している大西はクリアデスクできているのか」
答えは・・・、まあまあ、かなりいい線いっていると思っています。
が、かなり強靭な意志が必要です。
ちょっと油断すると、できなくなります。
という状態は、あまりよくないですね。
自然な動きで、習慣になってこそ、本物です。
では、今回の教訓をまとめておきましょう。
クリアデスク 俺が一番 できてない(字余り、失礼しました)
8月3日に、経営革新に関するセミナーを
当グループで開催します。
私のほか、CEOの近藤昇や大阪からは兼元などが登壇。
盛りだくさんです。
http://www.bwg.co.jp/seminar/2015/keieikakushin20150803.html
セキュリティ対策は乾布摩擦だ! (ブレインバンクビジネス選書)/カナリア書房
¥1,620
Amazon.co.jp
—–