パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #07/増員で高まる 情報セキュリティリスク~セキュリティ意識の高低差と人の心理~

4月入社の新入社員が現場へと配属され、増員による戦力強化で現場も活性化されたことであろう。その一方で、増員によって情報セキュリティのリスクが高まることも懸念される。「戦力がリスクになる」その本質的な問題とは何か、その視点で考察する。

f:id:sky-pca:20191015132427p:plain

増員によるリスクとは

巧妙化を続けるサイバー攻撃からシステムを守るためには、情報セキュリティ対策を強化していく必要がある。そのためには、現存する対策への拡張や追加、いわゆるエンハンスメントを実施していかなければならないが、情報セキュリティ対策が強化される一方で、システム構成が複雑化し機能が重複するなど、負の側面があることも認識しなければならない。また、業務を引き継ぐ際、すでに不要となった運用プロセスまでも引き継いでしまえば、無駄な作業がそのまま残ることになり、継続して運用していくためのリソースが不足する事態になりかねないのである。その結果、品質の低下や間接的なコストが増加する事態になってしまうこともあり得る。

増員もまた同様の側面を持っている。今年も研修(OJT含む)を終えた新入社員が現場へと配属されていると思うが、情報セキュリティの観点では、その増員がリスクになることもあり得る。筆者は企業に依頼され社員研修も行っているのだが、「せっかく研修で指導をいただいたのですが、どうもあまりよくわかっていないようで……。」と、研修効果がなかったとまでは明言されないが、期待どおりとは言えない複雑な声を耳にすることがある。研修カリキュラムには必要最低限の範囲で情報セキュリティの項目を設けるようにしており、何も知らずに配属されるということはないはずなのだが、現場の環境の影響によるものなのか「個々人のセキュリティ意識の高低差が顕著に表れる」と言うのである。

そのなかでも、セキュリティ意識の低い社員は、「知らない(理解していない)人」「できない人」「やらない人」という大きく3つのタイプに分類されるという。「意識の高低」という意味ではそれぞれ異なるが、決められたことが実行できていないという観点では大差がなく、セキュリティリスクであると言わざるを得ない。これは配属されたばかりの新入社員だけでなく、既存社員にも当てはまるところがあると思われるが、この状態を放置しておくと潜在的な脅威がいつか大きなインシデントとして表面化してしまうことになりかねない。

ISOなどの情報セキュリティ関連の認証を取得している企業では、個人情報の取り扱いに関して明確なルールを設けており、それにのっとって業務を行うように義務づけられている。これを「知らない人」に対しては、あらためて研修を実施するなど理解を深めるための機会を設け、日常の業務についても先輩や上司が直接指導することで改善が見込まれる。「できない人」は、やらないといけないことは知っているが、どこに申請するのかわからない、暗号化のオペレーションがわからないなど、適切に処理できないと推測できるため、「知らない人」同様に研修等のフォローにより改善されていくと思われる。重要なのは、このような現状を放置してはならないということである。特に新入社員の配属後には、業務スキルの向上だけでなく、組織人、社会人として適切な振る舞いができるようフォローしていくことが情報セキュリティの観点からも取り組むべき課題と捉えるべきであろう。「増員の戦力化」には、人事、情報システム、配属先の部門が横断的に連携する組織体系を構築し機能させていくことが必要となってくる。単一部門の目の前の課題という認識であってはならない。

「やらない人」の心理と対策

「知っている」「やろうと思えばできる」、でも「やらない人」に対しては、どうフォローしたら良いのだろうか。

手続きが煩雑で業務効率に負の影響があるということであれば、システムや業務フローの改修で改善を図るのが効果的な方法の一つと言える。

単に、個人主観による判断でルールがないがしろにされているのであれば、その意識を変えてもらうように徹底しなければならない。また、自らの誤った判断により何らかの事故が発生した場合、個人に弁済義務が課せられる場合があることを認識させ、自ら行っている行為が顧客や会社、そして自分自身にどういうリスクがあるのかをあらためて研修などで徹底する必要がある。「やらない人」の割合は既存社員が多くを占めるため、対象は新入社員のみならず、既存社員も含めるべきである。さらに、ルールの無視には何らかのペナルティーを課すなども効果的であろう。やってもやらなくても何も変わらないということであれば、ルールの存在そのものが無意味になる。

f:id:sky-pca:20191014124908p:plain

巧妙化されたサイバー攻撃が、メール本文で人間心理を突き動かすよう工夫されていることと同様に、情報セキュリティ対策の実行も最終的にはその人の「心理・感情」に左右されることになる。巧妙化が技術面だけではないことを認識し、個々の意識面においてもエンハンスメントし続けることがセキュリティリスクを払拭することになるのではなかろうか。

 

第8回/災害時やトラブルにおける組織のITへの対策 ~IT事業継続について~(前篇)

 

インフォフラッグ株式会社 代表取締役:神戸 仁

クライアント管理ツールメーカー勤務を経て、2008年にインフォフラッグ株式会社を設立。IT関連企業の新規ビジネス企画、マーケティング戦略策定等のコンサルティングを行う。また企画だけではなく実動部隊を育成する社員教育(新入社員から幹部教育)事業にも注力。その傍らで、長年従事しているITに関わる講演活動および執筆活動を精力的に行っている。