【必読】企業の情報セキュリティに直接関わってない方々へ

随分と昔ですが、ネットに書かれた誹謗中傷について話をしていたときのこと。

1.感情的に怒っている

確かに書かれた内容によっては、感情的になりたくなるのもわかります。しかし、解決するための問題を整理しヒアリングしているのに、「それは違う」とか「そんなことはしていない」・・・と、逆ギレされてしまい話にならなかったことがあります。

2.ネットを使わないから大丈夫!

何が書かれているか知らないし、見ることもない。だから何も問題ない。という、もの凄い論法でした。ある程度規模の大きい会社の社長でした。ネットは一方的に自分の都合いいように見るものであり、誰の干渉も受けることはない。というものでした。

今時は、Twitterのバイトテロなどがあるので、先の2例のようなことも少なくなったと思います。でも、まだまだ・・・と思うこともあったります。

あるセキュリティベンダーの方と話していたとき、その製品導入のための枠組みを作り、テンプレートとしてどの業態にも当てはめたい!と仰ってました。確かにある程度の枠組みは必要ですが、業種業態によってやり方は大きく違います。しかし問題の解決策を提供するよりも、製品の提供に偏っています。これは如何にもベンダーらしい考え方で、セキュリティ製品を扱っているにも関わらず「枠組みの中で運用するための製品に合わせた利用者の使い方」になっていました。セキュリティを考える上で、とても残念に感じたものです。

WindowsのUACのように、何かの動作の度に警告が出てしまうと、結果として「読まない」ことが起きています。一方で毎回出すことで、注意喚起になっていることも事実です。毎回出るからウザイのであり、微妙なバランスは何とも難しく、悩ましいものです。

情報セキュリティは、ITセキュリティの技術部分だけ。。。と思われていることが多いですが、セキュリティの中に含まれる1つが情報セキュリティであり、その中にITセキュリティや人的セキュリティ、物理セキュリティなどが含まれてきます。セキュリティという広義の中にも、人的物理的なものもありますが、情報以外のものと考えるべきでしょう。安全的なことなどが、これにあたります。

874件の回答から見えてきた、情報セキュリティの現状と課題

安全性と利便性のバランスや 利用者のセキュリティ意識に懸念クラウドサービスやスマートデバイスの登場によりシステム利用環境が多様化する中、情報システム担当者やシステム利用者などは、どのような懸念を抱いているのだろう。 本誌が実施した緊急アンケートを通じて編集部に寄せられた800件を超える“声”には、ITの利便性や社員の生産性の低下、利用者のモラルを懸念する意見が目立った。

ユーザーの意識やリテラシーに関する声

  • 結局、情報漏えいしても、日本では一時的な話題になるだけで、企業が倒産したり市場から追放されるような過激な結果がない。そうした嵐が去るのを待つような考え方になっていることが、いつまでたってもセキュリティに対する認識が変わらない背景にあると思っている
  • スマートフォンのアプリの中にはアドレス帳のデータを勝手にサービス事業者のホストに送るものが存在することが問題になっているのに、利便性に目がくらんでセキュリティに対する意識が低くなっているユーザーが多くなっている気がする。社内でも、なかなか意識が高まらないので少し呆れている
  • さまざまなデータセキュリティの手法があるが、それらをいかに組わせるかが重要。企業はベンダーなどのセールストークに惑わされず、常に自己研さんしながら“その道”のスペシャリストを育成しなければならないと危機意識を持っている

このアンケート結果をじっくりと読んでみました。

 ユーザーの意識やリテラシーに関する声
 セキュリティポリシーや社内の体制に関する声
 スマートデバイスの活用に関する声 
 安全性と利便性のバランスに関する声 
 具体的な対策方法に関する声
 オンラインストレージなどクラウドサービスに関する声 

上記のような構成になってます。是非じっくりと読まれることをオススメします。

結局は「セキュリティのためのセキュリティ」が行われ、本末転倒な状態になっているということ。本業にも影響するからこそ、過剰なセキュリティ対策を行いたくなるのもわかりますが、業務にならないほどのセキュリティ対策では・・・になり、堂々めぐりになっています。

利用者の意識さえ向上すれば、セキュリティ対策は防止から注意喚起の安全対策へ移っていくと考えますが、中々意識が向上しないのが現状です。

様々なアプローチがあると思いますが、まずは「守る側の思考」から「ミスする時の状態や、攻撃側の考え方」などの、思考方向を一方通行から両面通行に変えていく必要があります。

管理する側、管理される側では、考え方も行動も真逆になります。セキュリティ対策を考える上で問題の多くは、この思考アプローチ方向の違いにより起きています。

バランスよく。。。と言えばキレイな言い方で終わりますが、バランスの難しさは試行錯誤して最適を追求し続けない限り、崩れていきます。

今更な言い方ですが、何のために企業が存続しなければならないのか? 何のために仕事をし続けるのだろうか?

セキュリティと置き換えても同じですよね。

久々に興味深いものを読ませてもらいました。

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。