社員がセキュリティを自分事化しづらいのは「当たり前」心理学的観点から探る、情シスが取るべきアプローチ

情シスが陥りがちな“視野の狭さ”　現場との衝突を防ぐために必要なこと

　最後に稲葉氏は、情報システム部門のセキュリティ担当者ら自身にはびこる問題についても言及。その問題とは、“視野の狭さ”である。「セキュリティを強化しなければいけないという想いが強すぎるあまり、全体的な視点を見失っている人が多い」と同氏は指摘する。

　企業には、当然ながらセキュリティ以外にも注力すべき課題が数多く存在する。その中でセキュリティ対策に投資してもらうために重要なことは、経営層に複数の選択肢を提示することだ。情報システム部門はインシデントを事前に防ぐべく高度な対策を提案しがちだが、それが高コストであることを理由に経営層が実行をためらってしまうことも多い。

　経営層を説得する際に提示すべき選択肢には、インシデントを未然に防ぐための対策だけでなく、発生後の対処策も含まれる。稲葉氏は「セキュリティインシデントはもはや完全には防げないという考え方が、企業にとってある意味当然になってきている。高コストな未然防止対策から事後の対策まで、すべての対策に力を入れることは難しい」と述べ、現実的かつ建設的な議論をするためには事後対応に重点を置いた戦略を示すことも説得の手段のひとつだと主張した。

　また、情報システム部門は現場の従業員とも衝突しがちだ。情報システム部門はセキュリティに対し「守ってほしい、守るべき」という思いが強いが、ほかの従業員のメインの仕事はあくまでセキュリティ対策業務以外のところにあり、「メイン業務の時間を犠牲にしながらメール訓練などの施策に参加している」という現実を理解していない人も多いという。

　「現場理解は、セキュリティ対策の実効性に直結します。現場の人がどんな業務をしていて、どんなところに脆弱な場面が発生しやすいかを、的確に説明できる情報システム部門の方は実は少ないのではないでしょうか。現場の仕事を理解してない人からの提案は、どうしても説得力に欠けてしまいます。

　また、情報システム部門が現場の実情を理解し、業務の大変さを認識することで、『自分の状況をわかってくれている』とお互いを理解しあえる“相互理解”の関係性が構築されます。そういった信頼関係を育むことも、施策を進めるうえでは重要です」（稲葉氏）

　現場理解が不足している情報システム部門は、往々にして過度な対策を講じがちだ。インシデントが発生すると、“ひたすらルールを追加していく”だけの対応に陥り、結果として従業員が困惑してしまうケースも少なくない。現場の実情を把握していれば、それに応じた柔軟な発想も可能になる。過度な規制ではなく、現場の業務効率とセキュリティのバランスを考慮した現実的な対策ができるようになるのだ。

　セキュリティ対策を社内に浸透させるうえでは、情報システム部門に多くの苦労がともなう。「魔法の杖は存在しないというのは、リスク対策の常識だ」と稲葉氏。効果を求めるなら、それに見合うコストをかける必要がある。

　「対策のために高額なソリューションを導入できればよいですが、それが難しい企業ほど、金銭以外の資源を使って工夫するほかありません。そうした積み重ねが、やがて経営層の理解を促し、技術的な投資へとつながっていきます。セキュリティ体制の強化には時間がかかりますが、泥臭く小さな一歩を重ねることが、結果として組織全体の強化につながるはずです」（稲葉氏）