セキュリティを守る企業文化を育てよう

　テクノロジーの脆弱性というセキュリティの諸問題に対し、各国政府の関心はいまや最高潮に達している。

　しかし民間企業では、ソフトウェアを使用不可能にするウイルス攻撃が引き起こす潜在的リスクを頭で理解しつつも、依然セキュリティを企業の最優先課題に引き上げることに後ろ向きだ。

　安全が脅かされる背景には、セキュリティの責任は企業のITセキュリティ担当者だけが背負うもの、との認識がある。これは誤った考え方だ。

　企業がこの認識を改めずにいると、セキュリティとは日々の担当業務外のものである、と自然に受け流す態度が社員間にいつのまにか広まってしまう。このよく目にする無意識的な態度、もちろん中には意図的なものもあるが、この姿勢こそがシステムを混乱に陥れる代表的なウイルスをIT環境へ侵入させてしまう要因である。

　企業文化を変革する上でまずやるべき重要な仕事は、社員にセキュリティの大切さを伝えることだ。セキュリティを集団責任とすることは、さほど困難な作業ではない。

　たいていの場合、社員は比較的単純にそれを行動に移し、重要な企業情報を守る手助けをするべく常識を働かせてくれるはずだ。驚かされるのは、隙を見せない姿勢を持つことがいかに高い効力を発揮するか、ということである。ITがあらゆる社会を動かす機能として大きな役割を担うにつれ、セキュリティに対する社員の意識改革はますます重要性を帯びてくる。

　各社員がセキュリティを重要事項だと認識するためには、いかに個人が企業全体のITに寄与しているかを強調する企業風土の形成が先決だ。セキュリティの改善はそうした大きな展望の中で位置付けられる必要がある。そして社員ひとりひとりに、自身に課せられた責務を実感してもらわなければならない。

　よりセキュリティに焦点を当てた企業文化を育むには、いくつかの踏むべきステップがある。まず経営者層はセキュリティトレーニングに投資を行い、社員に成功事例を浸透させるべきだろう。それほど複雑なものではなく、たとえば社員が各自のパスワードを書き換えるように促す、といったものでよい。これによってIT担当者の負担軽減にもつながる。

　さらには、企業で一貫したセキュリティポリシーを明文化する必要がある。といっても、それは日々実行できるシンプルなもので、「必ず守りましょう」というレベルのものだ。この5〜10程度の基本ルールが、セキュリティ予防策を日常業務に適用していく中心となることだろう。これには、各社員が企業資産についての責任を持つという企業風土を形成するとともに、セキュリティ対策は仕事の一部であるという警鐘を鳴らす副次的な効果もある。

リスクを浮き彫りにする

　ITセキュリティは、生産性向上やビジネス機能の流れの改善といった経営戦略的な優先課題としても捉える必要がある。不正なネットワークアクセスを防ぐセキュリティ対策は明らかに不可欠だが、それはごく一部の話に過ぎない。各社員は、知らない送信者からの添付ファイル付きのメールを開いたり、ネットワークのパスワードに自分の名前を使ったりすることがリスクにつながるということを理解しなくてはならない。

　各社員も、自ら適切な手続きにしたがって業務を遂行しているかどうか確認する責任がある。パスワードを定期的に切り替える、誕生日や名前などを使わない、遠隔地や公共エリアからアクセスした場合は必ずログアウトする、といったことだ。

　ほかにも日々の実務的な注意事項として、パスワードを紙に書き記さない、知らない送信者からのメールを開けるときには十分注意する、CDや機密書類を開いたまま放置しない、そしてとりわけ重要なのが、IT関連の問題を自分ひとりで解決しようとしないで適切な専門家に報告することである。

　セキュリティ関連予算の肥大化やさまざまな脅威が衰えを見せない中で、企業は社員を教育し、ITセキュリティに関する責務を1人1人に認識させる企業文化の醸成に着手するべきだ。またITセキュリティは、顧客やベンダー、社員などに影響を及ぼすビジネス戦略上の役目も果たす点を見逃してはならない。

　セキュリティを突破されて引き起こされるシステム停止や混乱によるコストは極めて巨額だ。社員を教育し、行動を起こさせることで大きなコスト削減につながることは言うまでもない。