日々いろいろなセキュリティ担当の方々にお会いしますが、皆さん業務に追われ大変で、そして苦労されてます。セキュリティを身体で例えると頭の先から足の指までな全領域に対して、問題のないように進めているのにその評価はほぼなく(出来て当たり前な風潮)、ちょっとでも問題が起きればここぞとばかりにいろいろ言われるという踏んだり蹴ったりな状態です。それでも頑張っている方々を私は応援します。

セキュリティ担当者にかかるプレッシャー2018年版/セキュリティ意識の実態から見える“啓発”のあり方

従業員個人の「誤ったセキュリティ」が企業や組織を深刻な事態に陥れてしまう可能性があることは広く知られており、啓発のためにセキュリティ担当者はさまざまな努力をされていると思います。そのような中、OpenVPNは米国の企業や組織に勤める500名の常勤従業員に対して行なった意識調査の結果を「Cyber Hygiene Study 2018」として発表しました。

かなり興味深いです。日本を含む海外の1600人、業種も様々なセキュリティな管理職(CIOからマネージャ)を対象にした調査のようです。プレッシャーって切り口は面白いです。昨今の事情を考えるならば、もう少しセキュリティな立場って見直されてもいいのではないか?と担当の方々と話題になる(切に感じる)ことが増えてきました。

1.わかっているのに改善しない

調査対象の25%がすべてに同じパスワードで使い回しをしていたようです。これちょっとショックですよ。一般社員の方々の25%と、セキュリティな管理職の方々の25%では意味が違います。パスワードの重要度も一般社員の方々より高くなくてはならない立場…というよりも、啓発を推進・指導する立場でコレだと、もうこの仕事はしない方がいいです。少なくとも事故になる前に。。。これは行儀が悪すぎます。

逆に言えば、よくもこんなことに平気で答えられるなぁ…嘘つくよりもいいのかも?25%正直者だったという見方も出来るのかもしれませんが、わかっている(はず)なのにやらないのは、どうなのでしょうか?

2.セキュリティ担当者はプレッシャーにさらされている

プレッシャーを感じることが増えたかどうかでは、17年の調査で51%⇒18年は55%に上がったようです。推測する理由は従来よりも様々な場面でセキュリティ担当者の方々が関与する機会が増えていることだと思います。同時に責任も出てきますが、関与度合と動かせる体制(権限など)が比例してないので、プレッシャーもさることながら、ストレスも限度を超えてかかってきます。これは誰にとってもよろしくないことです。権限の少ない関与にも関わらず、責任の重荷は大きい。これ普通に考えても潰れます。

この半分以上という数値は相当高いと思います。先の25%な方々はここに含まれないことを願いたいところです。

3.プレッシャーを与える存在は誰?

経営者(オーナー)・上司・自身・同僚の順番だと、経営者を除く立場の方から受けるプレッシャーが多いようです。なぜ経営者からのプレッシャーが低いのかよくわかりません。日本以外の諸外国では、日本の25%に対して1.5~2倍くらい割合が多いのです。これを簡単に紐解ける訳ではありませんが、現場で感じるものは経営層からの直接な指示が少ないから影響が低いのか? 若しくは経営層はここでいう上司にすべてを任せているから、直接のプレッシャーを与える対象にならないなど。どのように捉えればいいのかな話ですが、低い数値にはネガティブ要素(トップマネジメントが機能してない、理解をしようとする方向よりは無責任な丸投げなど)が多く含まれている感じがします。

先のパスワードと一緒にしてはダメですが、どうもよろしくない数値として25%というのが離れません。

4.プレッシャーとなる規則や義務

何個かの項目がありますが、EU一般データ保護規則(GDRP)に関することが、諸外国21-32%に対し、日本は11%という低さです。EUと関連がないからという理由が大きいのでしょうが、そうでもない(関係ある)組織は結構多いです。前のプレッシャーを与える存在は誰?よりも、なぜ2-3倍割合が多くあるのでしょうか? 大きな流れを止められないし、逃れられないから対応していくということです。違いのあるところには何かが隠れているものです。

今後の個人情報やプライバシーに関する標準的な考え方となるものです。セキュリティ的には、もっと関心を高めたいところです。

5.必要な人材(規模)が確保されてない

ほぼ世界的に同じような割合感です。41-54%が現状の2倍、18-26%が現状の4倍必要という結果です。人材も規模も2-3倍に拡大したいということは、体感的にもほぼ合っています。しかし拡大されない(されにくい)理由はこんな感じ(経営層の問題)

① コストばかりかかるのにパフォーマンスが見えない(問題が起きてないということが効果と思われてない)

② パフォーマンスが見えないならば、見えてから動けばいい(問題(事故)が起きてから考える)

③ 事故が起きる可能性が低い(起きない)のに、セキュリティの制限をする意味がない(理解できない)

①~③までの全要素が揃ったことはまだありませんが、ほぼどれかに該当します。なので、人材確保に積極的な動きが出てこない。認識不足(無知)が更なる①~③に拍車をかけ、結果、問題や事故が起きてくる。かなりの悪循環になっている。。。これは本当に残念です。

なぜ、これほどまでにセキュリティに対して経営層の認識が高くないのでしょうか? 

まずは調査結果から全体を俯瞰して自身の立ち位置を確認する。そして部分的にでも取り入れてみる。セキュリティという見えにくいもの、よく理解出来ないものなどであっても、やる以上はしっかりと関与してキッチリ推進する必要があります。マネジメントの無知が様々なトラブルを誘発しますが、これらが本当に不必要ならば何もする必要はありません。

また、これに限らず、プレッシャーやストレスは適度に必要なものですが、逆もなければバランスが整いません。是非、モチベーションやインセンティブを増やして下さい。セキュリティ担当者は頑張っています。