ニュース
» 2010年01月27日 07時00分 UPDATE

セキュリティリスクの変化に強い企業風土を作る:セキュリティ文化を醸成するための具体策 (1/2)

ポリシーやルールによって情報セキュリティを強化しようとしても、実際には形骸化してしまいがちです。今回はセキュリティを実践する人への教育を通じて、セキュリティに強い企業文化を醸成するための具体策を紹介しましょう。

[小川真毅,ベライゾンビジネス]

セキュリティ文化とは

 この連載の初回で述べたように、情報セキュリティ対策が高度化・多様化しているにもかかわらず、セキュリティインシデントは減少するどころか増加傾向にすらあります。その原因の多くに管理ミスや確認漏れなどの人的要因が直接的または間接的に関係しているのです。このため、目に見える対策だけでなく、組織に属する人々の意識を変えていくこと、つまりセキュリティ教育による意識変革・向上を行い、安定的かつ長期的に組織全体のセキュリティを維持向上することが不可欠ではないかと考えられます。

 組織全体において安定的かつ長期的に浸透しているものとは、いわゆる“企業文化”と表現することができます。つまりセキュリティ教育とは、短期的には従業員個人個人のセキュリティ意識を変革・向上するためのものととらえることができますが、長期的には組織全体におけるセキュリティ文化を醸成することが大きな目的であると言えます。セキュリティ教育とは、セキュリティ文化醸成のための手段でもあるわけです。

 ここで、もう少しセキュリティ文化について具体的に定義しておきましょう。セキュリティ文化も組織文化の一要素と捉えれば、組織文化とはどのようなものかを考えてみることで、セキュリティ文化の定義も分かりやすいものになるでしょう。組織の文化という表現は色々ありますが、「長年の経験に基づき、その組織内の多くの人々の言動に自然に反映されている考え方や習慣」と捉えることができます。そうすると、セキュリティ文化とは、「組織内の多くの人々がそうすべきと知っており、また、それが正しいと信じているセキュリティ上の考え方や習慣」だと言えます。

 つまり、セキュリティ文化が醸成されるということは、ルールで厳しく縛ったり、いちいち指導したりすることなく、組織としてあるべきセキュリティを維持向上するために人々が自然に行動する状態になるということです。こうした状態が醸成されれば、少なくとも組織内部における悪意のある行為は極限まで抑制されるでしょうし、過失によるセキュリティインシデントに対しても相互監視的な予防や早期発見が可能となり、セキュリティ管理に必要な投資を大幅に低減することも不可能ではないはずです。

組織トップが打ち出すべきメッセージ

 セキュリティ文化を醸成するための具体策は、考えれば対策は幾らでもあると思いますが、ここでは組織トップの視点、セキュリティ責任者の視点、従業員の視点という3つの視点でそれぞれ対策を挙げてみましょう。

 1つ目は組織トップの視点として、「セキュリティの位置づけを明確にしたメッセージを打ち出す」ことです。セキュリティポリシーや対策の整備をいくら進めてもなかなか従業員のセキュリティ意識が向上せず、ポリシーや仕組みが形骸化して組織のセキュリティレベルが上がらない場合、組織の文化の中でセキュリティの位置づけが明確でなく、その重要性が理解されていない可能性があります。

 こう言うと、「セキュリティが重要なのは当たり前」「セキュリティポリシーでちゃんと規定している」と思われるかもしれませんが、実はそこに陥りがちな罠があります。

セキュリティの確保は当社の存続に不可欠な要素であり、当社が地域社会のために果たすべき重大な責任です。

 上記はある組織のセキュリティポリシーの冒頭に書かれている一文で、一見するとセキュリティの重要性と必要性を明確に打ち出している素晴らしいメッセージのように見えます。しかし、このメッセージにはセキュリティ文化を醸成するために必要な表現が欠けています。セキュリティの確保が自組織と地域社会のために必要なのはもっともですが、そのセキュリティを確保する主体は誰でしょうか。言わずもがな、その組織に属する人々です。セキュリティとは従業員のためのものでもあり、「従業員が自分たちの安全・安心や将来のために必要なことであるので、全員一丸となり一人ひとりが意識して確保しなければならないことである」というメッセージが何より重要だと考えられます。

 前述の一文を例にすると、以下のような表現に変えてみることで組織のセキュリティ文化を醸成するきっかけの一つになり得るのではないでしょうか。

セキュリティの確保は当社に所属する従業員一人ひとりの安全と安心のために不可欠な要素であり、当社が地域社会とともに永続的に発展していくために果たすべき重大な責任です。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ