セキュリティ担当者は、組織におけるセキュリティ施策推進の旗振り役

ひと昔前とは異なり、ネットを利用したお金儲けの手口はインターネット上に溢れ、パソコンの性能も格段に向上しているので、企業を狙った標的型攻撃は今後、さらに増えるであろうことはあっても、減ることはあまり期待できません。

こうなると、組織運営にとってセキュリティ教育やセキュリティ対策は欠かせなくなってきますが、この時に気をつけたいのが、「上から目線で臨まない」ということです。自分自身、つい「上から目線」的になってしまうことがあるので、自戒を込めて、常々このことを忘れないようにしたいと思っています。

セキュリティ部門の仕事は、セキュリティを守ることであるので、外部からの攻撃だけでなく、社内における不正行為などにも目を光らせなければなりませんが、この時に陥りがちなのが、セキュリティ部門が組織における「警察」のような存在となってしまうこと。社内での認知がこうなると、セキュリティ部門は他の組織から見て「敵」のような存在になってしまいます。

「警察」のような存在になることは、組織に対して強制力を持つことができて、それはそれで施策が進めやすくなったりするというメリットがあるのですが、長い目で見た場合、敵対的な関係を作ることは、セキュリティ施策の推進にとって良い結果をもたらしません。

セキュリティ研修にしても、セキュリティに疎い社員を「教育する」といった考えは「上から目線」的ですし、訓練を実施するにしても、「標的型攻撃メールにひっかかってしまうような問題児をあぶり出す」といったことを目的として臨むことは、やはり「上から目線」的になってしまいます。セキュリティ担当者のマインドセットが「上から目線」的なものになってしまうと、他の社員はセキュリティ担当者を「敵」として見てしまいます。

セキュリティ担当者の仕事はセキュリティを守ることですが、それはすなわち、セキュリティ担当者が組織における「警察官」になるということではありません。組織のセキュリティを守ろうと気負うあまり、つい「警察官」のように行動してしまいがちになりますが、セキュリティ担当者がすべきことは、組織を挙げてセキュリティの維持・向上に努めようという雰囲気を社内に醸成することであり、他の社員に対して、自社のセキュリティ施策はどうあるべきか？を考えるためのビジョンやヒントを提供することであるべきです。

攻撃者の中には、そこらの組織よりはずっと優秀な、統率された集団も存在します。知力・体力・マインドセットに資金力、いずれをとっても私達よりも格段に上を行く相手に対峙するには、こちらもチームプレーで臨むしかありません。セキュリティ部門のメンバーだけでセキュリティ対策を一生懸命考えてどうにかするという時代ではないって事です。そうなると、セキュリティ担当者としては、組織におけるセキュリティ施策推進の旗振り役として、他の社員を巻き込んでいくことこそが「重要な仕事」ということになってきます。

短期的に結果を出さざるを得ない状況では、「警察官」として強制力を持って施策を推し進めるという選択もあると思いますが、長期的には、セキュリティ担当者は「旗振り役」に徹し、組織全体でセキュリティ対策に臨む雰囲気の醸成・維持に努めることで、チームプレーによるセキュリティ対策を実現する方が、組織にとって、より良い結果をもたらしてくれるはずです。

セキュリティ施策の成果は、セキュリティ担当者のマインドセット次第で大きく変わるのだとしたら、あなたはどんなマインドセットで臨みますか？