前回、システム運用のポイントで管理側のセキュリティの話をしました。今回は、その流れで社員のセキュリティ教育の話をします。
8年前のテーマで「セキュリティとセーフティ」という話をしました。「セキュリティ」とは、侵入や盗難、破壊などの悪意を持って行われる人的な脅威に対しての安全を意味し、「セーフティ」とは、交通事故や自然災害などの偶発的、突発的な悪意のない驚異に対する安全を意味します。
実際は「セキュリティ」も「セーフティ」も混ざった状態で使われているのであまり気にされていない方も多いと思いますが、大切なことは悪意を持った脅威、意思のある危険から安全を確保をする必要があることを認識することです。
建設業の場合、多くの企業が係るため、現場も事務所も見知らぬ人が出入りしてもあまり関心が行かないことが多いです。挨拶や朝礼での相互確認が徹底している現場ではそんなことは少ないですが多くの現場では他業種では驚くほど簡単に出入りができます。
結果として、資材の盗難、書類の紛失などがたびたび起こっているのが実情です。倉庫にしまう、鍵をかけるといった簡単なことでもできていません。悪意のある第三者の存在を忘れがちなのです。
今回あえて情報セキュリティ教育と書かずにセキュリティ教育と書いたのは、この業務での意識がそのまま情報での意識につながっていると感じているからです。業務での意識改革を含めたセキュリティ教育をしなければ、情報セキュリティはうまくいかないと思います。
以前もお話ししましたが、最近の安全設備はかなりいろいろなことを考えたものになっており、昔に比べてずいぶん安全な環境で作業ができるようになっているにも関わらず、事故がなかなか減りません。その理由は「規律の無視・危険な行為」「教育指導の欠陥」といった人的要因、管理的要因が多いからです。むしろ、安全設備がよくなったゆえにより意識の低下が進んだような気さえします。
このことはセキュリティソフトが優秀になり、パソコンの性能が向上して、物理的な問題が少なくなっても、関係者のモラルや管理者の知識不足で情報セキュリティの問題が減ってこないのと根幹は同じことではないでしょうか。
具体的にいうと、いくら安全帯をつけていても、使わずに高所作業をしている作業員や近道行動で作業通路を通行しない運搬員がいて、さらにそれを注意しない監督がいるような現場があったとします。このような現場では先ほどの悪意の第三者への意識もありませんし、このような意識の現場では、どんな情報セキュリティの話も仮想空間のピンと来ない話にしか聞こえず、個々の意識の中には到底根付かないでしょう。さらに、パソコンが不得手だからと敬遠している管理職がいたら、管理もできるわけがありません。
つまり、情報セキュリティの話をする前に、業務でのセキュリティ・セーフティに対する意識作り、別の言い方で業務モラルの定着を行うことが必要だと思います。業務でのモラルがないところに、セキュリティ意識の定着はないでしょう。情報セキュリティは、安全意識や社内でのモラルと無関係ではないです。そこを忘れるとせっかくの教育が無に帰することになります。
遠回りかもしれませんが、社内ルールを守る、守らない人を厳しい指導する環境作りが先なのです。それらを含めてセキュリティ教育をすることが必要だと思います。
IT環境は世界有数の環境にもかかわらず、IT活用がいまだ低迷しているところと共通している気がします。やはり、人が大事だということです。