従業員はセキュリティに“疲れている” 取るべき対策はあるか？

企業はセキュリティリスクの低減に向けて従業員に強い規制をかけることがある。しかしこれは「セキュリティ疲れ」と呼ばれる状況を引き起こし、事態をより悪化させる可能性があると分かった。

[後藤大地，有限会社オングス]

　セキュリティ企業のESETは2022年11月22日（現地時間）、同社のブログで従業員が無力感とコントロールの喪失に陥る「セキュリティ疲れ」状態になり、致命的な問題を引き起こす前に取り組むべき対策を紹介した。

　ESETは解説の中で「従業員に高すぎるセキュリティ規制をかけることで状況は好転するどころか悪化する可能性がある」と指摘している。

ESETは従業員のセキュリティ疲れを防ぐための対策を発表した（出典：ESETのWebサイト）

強すぎる縛りは逆効果　企業が取るべき対策とは？

　セキュリティリスクにおいて従業員が重要なファクターになっていることは、これまでセキュリティ当局や多くのセキュリティベンダーが繰り返し指摘してきた。そのため、企業は従業員がこうしたリスクを引き起こすことのないように、強制的にセキュリティポリシーを強要したり、面倒で複雑な操作を要求したりする。

　しかしこうした強力なセキュリティルールは逆効果で、無力感とコントロールの喪失に陥るセキュリティ疲れを従業員にもたらすとESETは指摘している。セキュリティ疲れに陥ると、従業員は以下のようなリスクのある操作を簡単に実行してしまう。

• フィッシングメールのリンクをクリックしたり添付ファイルを開いたりしてしまう
• 認証情報を複数のアカウントで再利用する
• VPNなしで企業ネットワークにログインする
• セキュリティで保護されていない公共Wi-Fiから企業アカウントにログインする
• パッチを適用しない
• インシデントを上司に報告しない
• オンラインショッピングやゲームなど個人的な目的で仕事用デバイスを使用する
• セキュリティポリシーを回避する

　ESETは従業員のセキュリティ疲れを防ぐために以下に留意するよう企業にアドバイスしている。

• セキュリティが仕事に影響して生産性を低下させること理解する。従業員のニーズとセキュリティリスクについてバランスの取れたポリシーを設定する
• 自動ソフトウェアパッチやリモートセキュリティソフトウェアインストールと管理、セキュリティソフトウェアの利用などによって、ユーザーに課すことになるセキュリティ上の決定数を最小限に抑える
• パスワードマネジャーや生体認証ベースの二要素認証、シングルサインオンを導入して労力を最小限化してセキュリティを強化する
• ユーザーに到達するセキュリティ関連のメッセージを可能な限り少なく抑える
• 短くて楽しいセキュリティ意識向上トレーニングを実施する

　セキュリティを有効に機能させるには従業員が適切に役割を果たす必要があり、そのためには企業文化の育成が必要だとESETは指摘する。企業文化の構築には時間がかかるため、セキュリティ疲れの原因を理解して継続的に取り組むことが大切だ。