セキュリティを確保するなら高い製品よりも高い意識と正しい知識

どんなに強固な仕組みや高価なセキュリティ対策製品も、従業員ひとりひとりの意識次第で無駄になり得る。セキュリティを確保するなら組織の運営から見直すべきではないだろうか。

いまだに情報漏洩が多い

組織の情報漏洩がいまだにニュースになる。個人情報の漏洩から組織の機密情報の漏洩、国の防衛に関わる情報の漏洩、漏洩する情報はさまざまだ。情報漏洩による損失は大きい。情報漏洩によって損害を受けた対象に対する保証もさることながら、信頼損失による組織の価値の低減は避けられない。情報の取り扱いひとつで組織が存続の危機に立たされることもあるだろう。それほど情報漏洩は怖い。

なぜ組織の情報漏洩がこれほどまでに多いのだろうか。クラッカーによるアタックなどの不可抗力な要素もあるが、情報漏洩のほとんどは組織内部に原因があることが多い。話題になりやすいクラッカーのアタックによる不正アクセスは少数だ。そうであれば、内部の情報管理をしっかりとしていれば防ぐことができる。組織の情報漏洩が多いのは、内部の情報管理がしっかりしていないことに起因するのではないだろうか。

導入されるセキュリティ対策製品の是非

組織はセキュリティの確保のために高価なセキュリティ対策製品を導入することが多い。多大なコストをかけてセキュリティ対策製品を導入する。だが、その製品は本当に必要なのだろうか。本当にその製品を導入することで情報漏洩を防ぐことができ、セキュリティが確保できるのだろうか。高額なセキュリティ製品を導入しているにもかかわらず情報漏洩を起こす組織は多い。効果が出ていないのだ。

しかも、高額なセキュリティ対策製品は導入するにもかかわらず無償で提供されているブラウザーはIE6を使い続けるという矛盾もある。IE6に関しては前回の記事「日本の組織はIE6の利用が多すぎる」で書いたのでここでは詳細は省くが、高額なセキュリティ対策製品を導入する前に、まずはセキュリティホールの少ないブラウザーを使用して、OSのセキュリティパッチを正しく適用する方が先だろう。順序が逆なのである。

高額なセキュリティ対策製品を導入してもブラウザーの更新やパッチの適用などの基本的な部分でしっかりしていないので、高いコストをかけただけの効果が実現できていない。そして、何よりも効果が出ていないのは、従業員に正しくセキュリティに関する教育がなされていないからではないだろうか。従業員の教育がなされていないから、セキュリティ対策製品が無駄になっている。

おろそかにされる教育

組織で情報に関するセキュリティの教育がされているケースがどれぐらいあるだろうか。もしされているとしたならば、これほど頻繁に情報漏洩に関するニュースを目撃するということは、その教育は効果が出ていないといえる。

効果が出ていない理由は容易に想像できる。教育を担当するものにとって大切なのは、情報に関するセキュリティを根付かせることではなく、教育を実行したという事実だったりする。どれだけ教育を実施したか。何度教育を実施したか。そこに内容はない。おそらく、情報のセキュリティに関する教育を実施する人もITに関する知識が乏しいのではないだろうか。知識がないのに教育を施すから、中途半端な知識しか持たない従業員が増えていく。そして、教育者も組織の中で評価されるわけだが、目に見えにくいセキュリティの確保の度合いよりも教育回数で評価される傾向が高い。中身ではなく回数を重視するが故に、従業員は正しい知識がつかないし高い意識を持つことができない。

教育ほど重要なものはない。従業員のひとりひとりが正しい知識と高い意識を持っていれば、情報漏洩が起こることは少ないのではないだろうか。情報を取り扱うのは人である。そして、ITは道具だ。いかに道具を充実させても使う人に正しい知識がなければ使いこなすことができない。高い意識を持って使わなければ、悪意のある使い方ができる。同じ包丁という道具でも、一流のシェフであれば高い意識と正しい知識を持ってすばらしい料理を作ることができるが、悪意を持った犯罪者は犯罪行為に利用する。悪意のある行為がいかに無益で、自分も他人も不幸にするかということが正しく理解されていれば起きないことだ。その理解を助けるのが教育ではないだろうか。

結局情報は人が操る

社会で生活する上で、怪しいところには近づかない、家にはちゃんと鍵をかける、ということを習わなかっただろうか。怪しいサイトには行かない、セキュリティパッチを正しく適用してセキュリティホールをなくすことは、ちゃんと鍵をかけるということだ。基本がしっかりしていれば、防げるリスクは意外に多い。

情報漏洩に関しても従業員が情報に対して正しい知識を持っていれば防ぐことができる。従業員が取り扱っている情報はどのように取り扱うことが適切なのか。ひとりひとりが情報を適切に取り扱っていれば情報漏洩は起こらない。どの情報をどの程度公開すべきか、どの程度機密性が高いかがわかれば、無駄に情報を危険な状態にさらすこともなくなる。

そして従業員の高い意識を芽生えさせる。悪意を持った従業員が脅威なのであれば、従業員が組織に悪意を持たざるを得ないような組織運営を見直すべきだ。

情報は結局のところ人が操るのだ。人を正しく教育することで、高いレベルのセキュリティは確保できる。その上で、はじめて念には念をでセキュリティ対策製品に頼ることを考えてはどうだろうか。