社員のリテラシーについては、この他にもアンケートに書いた人が多数いました。中でも「ここは学校かと質問したくなるレベル」と苦悩する情シスB氏のエピソードには会場が笑いに包まれました。
「携帯電話の暗証番号が4桁ではセキュリティに不安があるので、8桁まで設定できるようにしました。桁数を変更すると、文字数制限が解除されることに気付かなかった私もうかつですが、まさか1桁にする社員が現れるとは想定外でした」
なるほど。確かに1桁だったら10回入力すれば確実に認証を突破されてしまいますね。「学校か」と嘆きたくなる気持ちも分からないでもありません……。
次に質問したCさんはTYPE-MOONファン。特に不安なのは、情報の持ち出しとSNSへの不用意な書き込みだそうです。助けてシンジ兄さん!
「情報システムの利用者である社員たちは、技術的に分からないことは聞いてくるのですが、SNSは皆が使い方を知っているので、モラルも含めてやっていいことといけないことを確認してこないんです」(Cさん)
対するシンジ兄さんのアドバイスは「セキュリティホワイトペーパーを作成すること」。どこの会社でも新入社員に教えるような「SNSに会社の情報を書いてはダメ」「許可なく社用PCを自宅へ持ち帰ってはダメ」といったものから、「18時以降はエアコンが切れるから総務に申請が必要」といった会社特有の事情までを全て明文化し、経営陣から派遣社員まで、全社員に説明するというもの。
「最初は対象人数も多く、ホワイトペーパー作りにも手間がかかるが、全員を対象とすることで、『この会社はセキュリティに厳しい』という意識が芽生え、小さなことでも確認するようになるため、コミュニケーションの向上にも効果がある」(シンジさん)
シンジさん自ら実践しており、効果も高かったと言います。10カ条程度にまとまるようなものではなく、社員から「長い」「覚えられない」と思われるくらいのボリュームであるほうがいいとのこと。
Cさんはもう1つ「セキュリティ人材を獲得するには?」と質問しましたが、こちらは「セキュリティ人材は獲得できない」と一刀両断。「たとえ同じツールを使っていても、内部統制の方針などは企業ごとに大きく違うので、外部からセキュリティ人材を連れてきても、実はあまり役に立たない。社内で育成するしかない」とシンジさん。
人材を育てるには「大体1年半くらいはかかるが、他部署へ放り込むのが一番早い」そう。問い合わせが多い部署へ派遣し、ヘルプデスク的な業務から始めて、現場の課題を学び取り、情シスに戻ったら社内全体の業務に反映するという順番で育てていくわけです。やはり、コツコツと進めるしかないようです。
Copyright © ITmedia, Inc. All Rights Reserved.