管理主義と現場主義のあいだで情報セキュリティを考える
情報セキュリティが重要であることは、今日では誰も異論のないところだと思います。しかし、どれくらいの対策が必要になるかは意見が分かれるでしょう。情報漏洩を警戒してUSBメモリの使用を許さないポリシーを掲げている企業もあれば、作業効率を第一に考えてUSBメモリの利用を許可しているところもあります。この違いは、管理主義と現場主義のいずれに寄った組織カルチャーを持っているかという点に帰結します。
管理主義とは、なんでも自分のコントロール下に置こうとする考え方です。もう少し言えば、今起きていることもこれから起きることも全ては想定内であることを求める、石橋を叩いて渡るアプローチになります。一方、現場主義とは、細かなルールを設けず現場の裁量に任せる考え方です。サプライズがあるかもしれませんが、それを差し引いても余りあるメリットを柔軟性に見出したアプローチです。
どちらが正しいかという議論は意味がなく、組織によって最適なアプローチは異なります。ただし、ひとつだけ共通していることは、どちらか片方の主義に傾倒するとメリットよりもデメリットが大きくなるということでしょう。最初に定めたセキュリティポリシーしか許さない運用は現場の作業を硬直化させますし、その逆は情報漏えいや改ざんのリスクを極大化します。だから、組織の情報セキュリティというものは、管理者サイドと現場サイドの意見をすり合わせることが必要になるのです。
前置きが長くなりました。大抵の企業では、情報システム部門は管理者サイドとして情報セキュリティを推進する役割を担いますから、これを読んでいる方の多くは、いかにして現場サイドにあたるユーザーに受け入れてもらうかを思案する役回りになるかと思います。
前回の記事では、コスト/ユーザビリティ/セキュリティの3点を考慮して情報セキュリティソリューションを決める必要があると述べましたが、最適と思われるそれを導入するにも、上記の両サイドのすり合わせがうまくいかないと情報セキュリティ強化の取組みも頓挫してしまいます。今回は、ユーザーに対して仕組みを受け入れてもらう説得術に触れます。
