2月の「情報セキュリティ月間」で考える「ある大企業の情報セキュリティ意識とタダ食い」について

2月は「情報セキュリティ月間」です。昨年のはこちら「毎年2月の「情報セキュリティ月間」:学科と実地の両輪が必要で続けることが最も大事

情報セキュリティの対策を考えるには、例えばITセキュリティと人的セキュリティとか、物理セキュリティと論理セキュリティ・・・ようは、「機器類」と「人の意識」に大別出来ると思います。

情報セキュリティの意識啓発として「情報セキュリティ標語」という教育教材を提供しています。情報セキュリティのセミナー等も行いますが、セミナーコストと実施後のパフォーマンスを考えたとき、中々浸透していかない現実を多く経験しました。

情報セキュリティに関することを従業員の方々に考えさせることは、自身で考えるきっかけ作りにもなりますし、どのように気をつけることが必要か? 何に意識を向けることが重要か?と考えることで、意識は浸透していきます。

ある大企業においては、グループ企業や関連取引先(別企業)で情報セキュリティ意識を高めるために「情報セキュリティ標語の募集」を行っているようです。情報セキュリティの意識を高めることは、中々簡単には進んでいきません。

昨年11月くらいから「それらのコンテンツ」へのアクセスが急増してきました。ここ3-4年増え続けています。調べて見たらアクセスの30-50%が、ある大企業からのものです。

社内の意識啓発活動を行っている従業員の方々は、「それらのコンテンツ」を参考にしていたようです。日本を代表する「情報セキュリティ」を牽引する大企業、規模が大きくなれば1人の行動×規模という結果に繋がっていきます。

例えるならは「それらのコンテンツ」は、中身がある程度わからなければ、意味がないので「試食コーナー」のようなものです。半数近くの訪問者は、何度も試食コーナーで「タダ食い」しているようなもの。美味しくなければ、何度も試食することは「ない」と思いますが、試食で十分なのか、お行儀をしらないのか?
アクセス拒否設定(企業ドメイン)をしても接続元を変えてまで「タダ食い」するのは、さっきとは見た目の違う服装で変装して試食コーナーに並び直しているようなことです。情報セキュリティ意識を高める前に、道徳的なことを正しく認識して、恥を知るべきと思います。

このかなりグレーな行為は、企業として問題ないと考えているようですが、先の「機器類」と「人の意識」で考えた時、情報セキュリティの意識を高める「正しい」行動に繋がるのでしょうか? 「情報セキュリティの確保」という取り組みに関する立派なページを出していますが、中身と実態が伴ってないように感じています。情報セキュリティの統制が機能していない代表的な事例になるのしょう。何とも残念です。「パクリ」と「コンプライアンス」は「恥の文化」を知ることから?

情報セキュリティの意識改革、意識浸透は簡単ではありません。簡単ではないからこそ、色々な方法でアプローチしなければなりません。「情報セキュリティの確保」って何?と考えてしまいます。情報セキュリティを「ナメている」のでしょうか?

CSRとかコンプライアンス・・・と、実態に伴ってないことをで言う前に、足下をしっかりと見ない限り、風土も体質も変わりませんし、何より情報セキュリティの啓発に「正しい意識」として定着してくのか?何とも疑問に思うところです。

私は改めて「情報セキュリティ」に対する取り組みを、地道に真面目に進めていこうと考えるきっかけになりました。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。