セキュリティ担当者の苦悩を解決する、新たなアプローチ

情報ネタとしては古いですが、2012年7月のIT Leadersの記事「874件の回答から見えてきた、情報セキュリティの現状と課題」。現場の生の声からは、セキュリティ担当者の苦悩がうかがい知れます。この記事が掲載されてから約２年が経とうとしていますが、セキュリティの現場に目を向けてみると、状況としては、当時も現状もあまり変わっていないように思えます。一体何がいけないのでしょうか・・・？
　

担当者の苦悩が解消されない根本の原因は一体何だろう？

874件の回答のうち、「ユーザーの意識やリテラシーに関する声」について見てみると、以下のようなことが問題だとする意見があるように読み取れます。
　

• セキュリティに対する認識が変わらないのは、社会全体の風潮がそうであるからだ。
• 目先の利益にばかり目が行っていて、大事なことがわかっていない。
• セキュリティが重要であることをどれだけ説いてもわかってくれない。
• システムがあればどうにかなると思っている。
• セキュリティに関する理解を深めてもらうのが大変。

　
これらの意見からは、セキュリティ担当者の日々の苦労と、苦悩する姿が目に浮かぶようです。毎日、真剣にセキュリティ対策に取り組んでいるのに、みんななかなかわかってくれない。そんな声も聞こえてきそうです。

でも、874件の集約された意見を見て気づいたことがあります。それは、セキュリティ担当者の苦悩の原因は、実は担当者自身の「マインドセット」にあるのではないか？ということです。
　

セキュリティ対策をマーケティングに置き換えてみよう

ここで、セキュリティを一旦離れて、マーケティングに話を置き換えてみます。

ご承知の通り、このサイトでは「標的型攻撃メール対応訓練実施キット」を販売しています。標的型攻撃メールの模擬訓練を実施することの効用と、模擬訓練にキットを活用いただくことの良さ・メリットを知っていただき、是非、キットを活用して組織のセキュリティレベル向上に役立てていただきたいと思ってはいるものの、全てのお客様が諸手を挙げて、このキットを購入されるというわけではありません。

どんなに良さを説明しても、「要らないよ」というお客様ももちろんいらっしゃいます。ここで、キットなんて要らないとお客様から言われることについて、私が、

「社会が訓練実施を当たり前のものとしない風潮にあるのが悪いんだ」とか、
「目先の利益ばかりに目が行っていて、標的型攻撃に備えることの重要性がわかっていない」
　
などと言ったら、あなたはどう思うでしょうか？きっと、「おまえはバカか？」と思うのではないでしょうか？
　
マーケターや営業マンなら、商品が売れないのはお客様が悪いせいではない、商品の良さの伝え方や、自分達の熱意の伝え方に足りないものがあったからだ。と考えるはずで、商品を理解してくれないのはお客様の側に問題がある。などとは最初から考えないはずです。

だからこそ、広告代理店や宣伝担当者は、関心の無い顧客の心を如何にして掴むか？また、こちらの存在に気づいてもらったお客様に如何にしてアプローチし、商品を手にしてもらえるか？を一生懸命考えるわけです。

こうして考えると、セキュリティ担当者の仕事においても、これと同じ事が当てはまるのではないでしょうか？

宣伝担当者が、お客様に関心を持ってもらえるよう、日々アイデアを巡らせているのと同じように、従業員のリテラシーが低いなら、如何にしてセキュリティに関心を持ってもらい、リテラシーを上げていくか？また、こちらの言うことを理解してもらえない相手に対し、どのようなアプローチの仕方をすれば、関心を持って話を聞いてもらえるか？

従業員や上司・役員を「お客様」に置き換えれば、セキュリティ向上のためのアプローチ方法は、売り上げを上げるためのマーケティングと同じアプローチ方法が使えるのでは？と思えてこないでしょうか？

「関心が無いこと」「話を聞こうとしないこと」がそもそものスタート地点と考えるなら、「社会の風潮が・・・」とか、「何が大事かわかっていない」といったことで苦悩するということはないはずです。

つまり、社会そのものや相手のほうが、こちらの思うような状態になってくれるのが当然だと考えるから、思い通りに行かなくて苦悩する事になるわけで、この苦悩は実は、自分自身のマインドセットがもたらした思い込みに過ぎないのではないか？と思うのです。