依頼を受けたZ氏は、電子メールを起因としたセキュリティ事故は他社でも多く起きる事故でありながら、日常的に利用される便利なツールとして認識されているために、経営者も社員も取り扱いに対するセキュリティへの意識が低いことをS氏に話した。A社では特に電子メールの使い方を教育する場は用意していなかったため、S氏は「なるほど確かにその通りだ」と思った。
まず、Z氏は電子メールについてS氏ら社内の情報セキュリティを担当する者がしっかりと理解する必要があるとし、電子メールなどの利用頻度の高いツールには、「ヒヤリハット事例(※)」が多く含まれていることを説明した。電子メールを確実に管理していくためには、しっかりとS氏自身が自社の実施状況を知っておく必要があることを伝えたのだ。S氏はZ氏のアドバイスを基に電子メールの取り扱い状況を確認するため、次のような調査票を用いて社員に調査をすることとした。
※ヒヤリハット事例:ヒヤリとする、ハッとするなど、「あわや事故になりかねない」状況となる事例のこと
項目 | メール取り扱い調査票 | |
---|---|---|
1 | メールソフトのアドレス帳には同じ人の同一アドレスが複数登録されていますか | はい・いいえ |
2 | ファイルを添付し忘れて送付したことがありますか | はい・いいえ |
3 | メールを送信したにもかかわらず、送信先からメールを催促されたことはありますか | はい・いいえ |
これらの調査票は、以下のような意図で作成したものである。
実際に調査をしてみると、A社の社員は調査項目の内容がどれも直接のセキュリティ事故につながらないという認識しており、素直に「はい」にマルを付ける社員が10人以上いた。つまり、事故には至るほどではないものの、電子メールの取り扱いの不注意から事故を起こしてもおかしくない社員が半数近くもいたのである。このほか社内では、パスワードの連絡ミスで相手先がファイルを開けなかった際に、パスワードトラブルを避けようとパスワードをかけないファイルを再送信していた例も明らかになった。
なお、調査票を作る際にS氏は、電子メールのセキュリティ上の問題について、Z氏から次のような説明を受けていた。
こうして整理することで、S氏はA社では、(3)に対するリスクのみしか対応していないことを確認した。S氏は「なるほど、こうして整理してみるとパスワードによる暗号化対策はその一部でしかないのだ」と実感するのとともに、調査票の結果からその一つひとつに対して必要な措置を講じる必要があると痛感したのである。
S氏は第2の類似事故を起こさないために早期の対策が必要と考え、Z氏とともに早速社内のセキュリティルールの見直しにかかった。それは実行可能な形でのルール設計が求められなければいけない。Z氏は次のように指摘した。
「御社のセキュリティ規程にも、よく見れば“アドレスミスに注意をすること”という記載があります。しかし、実際にはこの一文だけでは社員の皆さんの努力事項となってしまっています。セキュリティルールは、実際に事故を防ぐこと目的とした行動できるものでなければなりません」
事故前提社会においては、事故は必ず引き起こされるものとして、社員の身近な行動一つひとつに、常に事故の要因が潜んでいるという認識を持つ必要がある。その認識を持った時、はじめて「セキュリティ対策とはこんなものだ」という対策ありきの固定観念から抜け出せ、事故発生の現実性を持った緊張感を伴うことができる。事故を防ぐためにどうすべきか、という本来の意味としてのセキュリティルールの見直しを進めることができるのだ。
Copyright © ITmedia, Inc. All Rights Reserved.