魂は細部に宿る-それはセキュリティ対策にも当てはまることです
「魂は細部に宿る」という言葉があります。
ミース・ファン・デル・ローエという建築家の言葉「神は細部に宿る」が置き換えられて使われている言葉らしいですが、建築に限らず、細部がいい加減なものに立派なものはございません。
見かけはしっかりしているように見えても、細部がいい加減では、いつかボロが出てしまうもの。
そしてこれは、セキュリティ対策やセキュリティ教育にも当てはまることです。
現場の論理で形骸化されていくセキュリティルール
日本年金機構の情報漏えいは、職員のパソコンに個人情報のデータが保存されていて、それが外部に流出してしまった。ということのようですが、ネットに繋がっているパソコンに重要なデータを置いたりしない。というのは、セキュリティ対策の基本です。
海外旅行に行って、バッグをそのへんに置きっぱなしにしたら、あっという間に置き引きに遭う。というくらい、ネットに繋がっているパソコンに重要なデータを置くことはとっても危険なこと。
125万件の個人情報なんて、一体幾らで売れるのかわかりませんが、貯金を持っている上に騙しやすい高齢者のデータとなれば、詐欺グループにとっては垂涎ものでしょう。そんな魅力的なデータが、標的型メール1本送りつけるだけで手に入る。となれば、俄然やる気も湧いてくるというものです。
だから、ネットに繋がっているパソコンに重要なデータなんて置いちゃあいけないんですが、面倒くさかったり、他に置いておく場所がないとかいった理由で、ちょっとの間だけだから。と、ついつい置いてしまう。という事が現場では往々にして起こるものです。
セキュリティ対策の基本を啓発ビデオなどを見せて教育したり、セキュリティルールを決めて周知したりしても、現場の論理が優先されて、色々な事が形骸化していく。
そういう事ってどこの会社にもありがちなことで、あなた自身も、周りを見渡してみれば、思い当たることが幾つか思い浮かんだりするのではないでしょうか?
何故、セキュリティルールが守られないのか?
セキュリティルールが形骸化されていく現場の言い分は、
「お客様のため」だったり、「売り上げ目標達成のため」だったりします。
他にもあるでしょうが、いずれも、それだけを聞く限りでは真っ当な言い分ばかりです。
自分が取るべきだと思うアクションに対してセキュリティルールが邪魔になってしまうので、ルールを無視する行動に及ぶ。
心の中では「良くないよなあ」とは思いながらも、他に優先すべきと考える事項があるから、「まあ、しょうがないか」と自身を納得させてしまう。
セキュリティルールが形骸化していくのは、ルールを守ろうとしないのではなく、当人の心の中に別のルールが存在し、それがセキュリティルールよりも優先される価値観として存在するがために、結果的にセキュリティルールが破られてしまう。というのが実際のところなのではないでしょうか。
優先される価値観を合わせない限り、問題は解決しない
誰もがルールは守ろうとしている。しかし、そのルールよりも優先されるルールがあるから、結果的にルールが守られない。
これが根本原因だとすると、幾ら声高に「ルールは守れ!」と言ったところで、問題は解決しないでしょう。だって、当人からすれば、ルールは守っているのですから。
ただ、守られているそのルールが、セキュリティルールではない。というだけのことです。
では、セキュリティルールを守ってもらうにはどうすればいいか?というと、答えは簡単で、当人の中でセキュリティルールが優先されるよう、組織の中での価値観を形成していく。ということです。
迅速なお客様対応のために必要なことだから。と、担当者のパソコンや共有フォルダに個人情報のデータを置いておくという行為。
確かに迅速な対応ができて、お客様に不満を抱かせることは無くせるかもしれませんが、そのパソコンから個人情報が流出して信用を失ってしまい、会社が倒産の憂き目に遭ってしまったら本末転倒であることは、誰の目にも明らかだと思います。
しかし、現場においては、起こるかどうかわからない事故(個人情報流出)よりも、目の前で起きそうな事故(お客様からのクレーム)に目が行き、そちらへの対応を優先させてしまうということが往々にして起こります。
これは、組織にとって、優先すべき価値観は何か?という問題であり、この価値観が各人で違っているのに、ネットに繋がっているパソコンに重要なデータを置くな。と声高に叫んだところで、心に響くはずがありません。
価値観を合わせる。という細部にこそ、こだわろう
セキュリティルールを決めて周知徹底を促し、また、同時にセキュリティ教育によって啓蒙活動を行う。
これはどの組織においても実施している事であると思います。しかし、組織の中での価値観を合わせる。ということにこだわって全てをデザインしているか?というと、そこまではできていないところは多いのではないかと思います。
何故、そのセキュリティルールがあるのか?また、何故、そのようなセキュリティ教育を行うのか?
ここに統一された価値観がなく、ただ単に、他がやっているから。とか、業者から提供されたものをそのまま使っているだけ。といったことでは、価値観の共有など望むべくもなく、従業員は、「何で、こんなことやらなければならないんだ」とか、「こんなもの意味ないよ」と心の中で思い、結局、自分の中での価値観を優先させてしまうでしょう。
そして、セキュリティ担当者は、セキュリティ教育なんて幾らやっても効果がない。と感じ、やる気をなくして、さらに形ばかりの対応になっていく。こうなってしまってはもう、悪循環です。
「魂は細部に宿る」ではありませんが、目に見える部分だけでなく、目に見えない「価値観」にもこだわる。セキュリティルールの形骸化を防ぐには、こうしたことがやはり重要なのではないでしょうか。
→次の記事へ( 標的型メールにやられた!そんな時はどうすればいいのか? )