コンサルティング会社の主任は、ログの取得強化と改ざん防止策の企画書を部長に提出した。すると部長はこう返事をした。
「こんな事で80万円も使うのか……。本業にどう貢献するの? 情報漏えいの防止というなら分からなくもないがね。本業で80万円の利益を稼ぐのに、君はどのくらい営業が苦労しているのか知っているのかね?」
さらに部長はこう続けた。
「グループ企業やマスコミに説明できる対策ならいいね。例えば『限定された人のみがアクセスできなくなる』なんてどうかね? 役員が指紋認証で入室できるようにするとか格好が良い。マスコミ受けもするはずだ。それなのに、ログ強化なんて誰が興味を持つのかね」
そういって、その場で企画書を主任に突き返したのである。
セキュリティ対策を考える時には現場の視点、犯罪者の視点でもって検討することが非常に大切である。しかし、その視点のままで企画書を作成してもダメだ。上述のケースはその最たるものだろう。つまり、“お客様視点”で考えることも必要になる。
上述のケースに当てはめれば、主任にとっての“お客様”とは部長であり担当役員なのだ。彼らの視点で企画書を記載しなければ、主任が必要と感じている本当のポイントが通らなってしまう。
どのようにすれば記載すべきか。それはIPAの報告書にある「管理者・経営者の効果があると思う対策」である。支持が7%以上の上位6つは次の通りだ。
ちなみに「社員の効果があると思う対策」は次の通りである。
管理者・経営者が考えている対策とは、とても大きな差がある。
Copyright © ITmedia, Inc. All Rights Reserved.