OSは最新版を使うのに、使う人の意識は古いまま?(新年度に向けた情報セキュリティ教育)
XPのサポート終了に伴い、各社入れ替えや、そのまま使う等、様々な対応をした(している)と思います。
XPも12年間近く頑張ってくれました。言うまでもありませんが、サポート終了は、今後OSの最新版を提供しないことです。
常に弱点が見つかるので、その弱点を最新版で補っていくの連続です。
しかし、使う人たちは、OSのように最新版を当てていくようなわけにはいきません。利用するPCが安全な状態(最新版)であるのに、操作する人のセキュリティ意識はどうでしょうか?
例年、新年度に向けた「情報セキュリティ教育・対策」が行われていますが、昨今のネットテロ事件を考えると
新入社員の方々、若年層が注意の対象に向けられてしまいます。
確かに、ここ数年「Twitter」「LINE」等のSNSで、身内で受けそうなネタを全世界に発信してしまう事例が後を絶ちません。
例え身内ウケしそうなネタであっても、社会人として、大人の人間として、最低限のマナーやルールは存在します。
ネットがなかった頃から「あった」はずの「おふざけ」でしょうが、
ネット社会の「瞬時に広がる情報伝達力」「検索における見つけやすさ」「消しても消えない投稿記録」等の
ネットの特性を理解しなければなりません。ビジネスにおいて、とても便利になったインターネットですが、
その裏側である「ネットの脅威」にも目を向けなければなりません。光と影のように、一方だけでは存在できません。
同時に考えたいのは、従来の「セキュリティ教育・対策」が行われている在職中従業員の方々です。
もちろん新入社員の方々と違い、現場で実ビジネスを毎日続け、経験も実績も豊富にありますが、
日々の仕事に追われる中、間違った慣習や、業界や風土における「当たり前」に行われていることが「普通の状態」になっています。
その中に居続ける限り、それらを疑う余地はなく、問題点は見えません。問題であるとも気がつかないものです。
また、業務を優先するために「本来やるべきルール」を「やったことにする」省略化や抜け道を使って
日常業務を行っています。これは単に省略化している従業員の方々の問題ではありません。
セキュリティ対策のためという「幾重もの」確認事項、書類、ルール等を決めている管理側の立場と、
それらを行わなければならない管理される側の立場が、真逆の方向を向いていることを認識しなければなりません。
幾重ものセキュリティ対策を行う事は、問題の減少に繋がると思われがちですが、業務に合わない対策は、
結果として形骸化し、逆に事故を誘発する原因を作りかねません。
ウィルスを見つける眼を養う。これは人間には出来ないことなので、対策ソフトに任せるしかありません。
OSを最新版にして使用するのは、誰もが知っていることですし、機械的に行われます。
新しい脆弱性が見つかると、それに対応したものにするために行われます。
一方で人のセキュリティ意識は、OSの最新版のように簡単にできませんし、そんな頻繁に行われることでもなく、
それに追いついていくことはできません。
例えば、1%の人が悪意を持っているとしても、99%はそうではありません。ただダメージで考えれば、例え1%でも「相当な威力」を持ちます。
1%の原因(悪意)が1%の結果(ダメージ)ではありません。先日の冷凍食品農薬混入のようなものです。食品への混入と情報の持ち出し、漏洩の違いだけです。
セキュリティを考える上で、悪意をもった対策よりも、悪意のない対策のほうが厄介です。悪意の起こりうる範囲はある程度限定できますが、悪意のないものは「すべての行動が範囲」になります。うっかりミス、何気ない日常行動、誰が聞いているかわからない場所での会話、電話・・・TPOに合わせた対応できる能力を身につけるには、普段からの注意、意識しかありません。
最近多く発生している「パスワード漏洩、流出、不正利用」なども、自分で守れる範囲は限られますが、かなり安易なパスワードを使っているものです。自分で管理出来ない場所から勝手に洩れてしまったものは、どうにも無理がありますが、自己管理の範囲にあるのにしないのは、意識の欠如としか言いようがありません。ANAの不正アクセスで「もう一度考えたい」パスワードのはなし(その1)
情報セキュリティは、ITセキュリティ(技術的)だけではありません。しかしバランスはITセキュリティに偏っています。鳥の両翼、車の車輪のように、両方必要です。
新年度の「情報セキュリティ教育・対策」は、新入社員も含めた全社員見直しの機会と思います。まずは今までと別な視点で考えてみること、固定概念を疑ってみることです。想定外なことは、想定外な思考からしか見えないものです。
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。