Winnyで情報漏えいを経験した企業 改めて調査したところ……：萩原栄幸の情報セキュリティ相談室（2/3 ページ）

[萩原栄幸，ITmedia]

「守れ！」と言うべからず

　調査の過程で、筆者も従業員向けの「啓蒙教育」を受講した。そこでは2時間を割き、「コンプライアンス」や「情報セキュリティ対策」を中心として従業員に教育していた。しかしコスト削減によって、数年前からコンプライアンス統括部の従業員が講師をしていた。そこでは、最も“マズイ手法”が横行していたのである。

　ここではよく講師が、「○○と決められています」「必ず規則を順守してください」「これをすると始末書などの処分が行われる場合もあります」と説明していた。しかし、従業員の多くは目が死んでいる。いや、正直に言えば、半数程度が寝ている。

　それを見て見ぬふりをし、「仕事だから」と嫌々に講師をしているコンプライアンス統括部の従業員の姿を垣間見ることができた。これを年3回も繰り返しているのでは、確かに従業員もたまったものではないだろう。ではどうすべきなのか。

　筆者はもう20年近くコンプライアンス教育や情報セキュリティの研修や講演を行ってきたが、そこで得た重要な教訓に、「強制をするな！」「『規則を守れ』と言わない！」というものがある。人間の心理は、例え良いことや為になることだとしても、「強制的」なものに拒否反応を示す。

　パスワードの説明で例えると、この会社では「パスワードは8けた。英字の大文字・小文字、数字、特殊文字をランダムに選択し、有意の単語（地名、品名、など）や人名、特に個人にとって意味のある電話番号、誕生日、車のナンバーなどを使ってはいけません。また以前使用した同じパスワードも使用禁止です」としている。

　「パスワードは個人を認証する大事なものですから、規則をよく読んで順守してください。分かりましたか？」――これでは誰も守らない。それは、「なぜそうしないといけないのか？」という理由が欠落しているからである。

　筆者は、パスワードが実印以上に重要なものだと考えている。第三者が誰か（個人や企業）になりすましをしたら、深刻な被害をもたらすかもしれない。何千人もの人が一生懸命にセキュリティの強度を強くしていても、たった1人が脆弱なパスワードを使うことで、全て無駄になってしまう。

　この会社でいうなら、「あなたのIDが悪用されれば最悪の場合、倒産という事態にもなりかねません。そのことは以前のWinny事件でも明らかです。そのためにも（自分のためにも）細心の注意を払ってパスワードを作成し、入力しましょう」と理由を説明すべきだ。「あなたは、その他大勢ではない。うちの企業にとっては絶対に侵入されてはいけないIDを持つ従業員である」と、強く受講者の目を見て解説すべきなのである。

　この理由以外にもパスワード管理の重要性についても抽象的な教科書のような説明ではなく、なぜ理が重要かについてその説明をしなければ納得しないはずだ。漠然と話していては、訴求力がないので、話をしていても内容は全く響かないのである。