セキュリティの最高責任者は経営者である
「セキュリティの最高責任者は経営者である」―こう言い切ってしまうと、多くの経営者の反発を招くかも知れないが、事実「防犯の最高責任者」は経営者なのである。もちろん、経営者が詳細なところまであれこれ手を入れなくては、という意味ではないが、まずは責任者であることを認識していただく必要がある。そのうえで、何を権限委譲し、何は自分で判断するのかを決めることが必要になってくる。
たとえばこうだ。社内文書が10あったとして、今までであれば「社内文書は持ち出し禁止」となっていたとする。これをスマートフォン導入に当てはめると、やはり持ち出しNGだ。しかし、判断する権限とその業務を理解した人が協力し合うと、実は10ある文書のうち、6は持ち出し禁止だが4は影響のない文書である、ということが分かってくる。これはあくまで仮定だが、そういう可能性を探し出し、社内文書の仕分けをすることで、外に持ち出して活用したい文書が明確になってくる。
本来は、こういった仕分けを一つ一つ経営者がやる、あるいは関連部署が洗い出すことが望ましいわけだが、必ずしもそれらの人がそういう時間を確保できるとは限らないため、当社ではコンサルティングサービスの一環としてドキュメント仕分けをお手伝いしている。一般的な例から鑑みて、これはいけるはず、といったものを洗い出し、最終判断を経営者または関連部署に行なっていただく。これだけでずいぶんラクにスマートフォン導入ができる、というご意見をいただくことが多い。これはいわゆるシステム屋の領域ではないからであろう。
ほとんどの会社のセキュリティポリシーはWindowsPCが基準
「そんなわけはない」と思われるかも知れないが、ほとんどの会社のセキュリティポリシーはWindowsPCが基準である。本来であれば、セキュリティポリシーは会社のカギ、資料など多岐にわたって規定されているわけだが、なぜかコンピュータ関連はWindowsを基準に構成されている。それは自社のシステム構成がWindowsでできているため、Windowsを基準にするほうが分かりやすいからだ。だから、セキュリティポリシーの中にも、「Windowsのパスワードポリシー」や「画面ロック」についても規定されていることが多い。
これはこれで悪いことではないのだが、全てWindowsが前提になったままであるため、ここにスマートフォンが入ってくるとどのようにルールを策定すればいいのか分からなくなってしまう企業が多い。Windows端末ならいいが、iPhoneやiPad、あるいはAndroidといった端末になると、Windowsとはずいぶん勝手が違う。この勝手が違う端末を扱う方法が分からないということなのだ。
当社にもこういった相談は少なからず舞い込んでくる。経営者はこういうところを理解しておかないと、情報システム部門が困り果ててしまうのだ。情報システム部門は現在構成されているシステムのプロであって、セキュリティポリシーなどルール策定のプロではないのだから、そこを理解しないで情報システム部門に丸投げしてはいけないということなのだ。
