誰がセキュリティ対策を実施するのか?
まず考えなければならないのが、「誰がセキュリティ対策を実施するのか」です。専任の担当者がいない中小企業では、周囲より少しだけパソコンに詳しい人が空いている時間に対応していることも少なくありません。
ただ、パソコンに詳しいだけではセキュリティについても詳しいとは限りません。しかも、パソコンの導入やソフトウェアの設定を工夫すると、売上や利益につながるかもしれませんが、多くの企業ではセキュリティ対策をどれだけ念入りに行っても、売上や利益につながりません。
結果として、他の仕事をしている時間を増やすことで会社に貢献しようという意識が働くと、セキュリティは後回しになるのも当然です。ただ、対策を実施せずに被害が発生すると、大規模な損害が発生するのも事実です。
情報セキュリティはパソコンを使う場面だけに限った話ではありません。「ソーシャルエンジニアリング」という言葉があるよう に、電話でパスワードを聞き出す、ゴミ箱を漁って秘密情報が書かれた紙を盗み出すなどの方法もあります。
図1:ソーシャルエンジニアリングの手口
つまり、パソコンを使う人やセキュリティ担当者だけでなく、「仕事に関わるすべての人」が対策を常に意識する必要があるのです。人によってセキュリティに対する考え方や求めるレベルが異なっていると、どのような基準で対策を実施すればよいのかわかりません。
そこで、どのような対策をどの程度実施するのか、方針を決めなければなりません。基本的には、経営者が主導して、方針を決定します。その後、その方針に従って具体的な対策やルールを考えます。対策やルールが決まると、実施するのは全従業員の役割です。
セキュリティは「城壁」に例えられることが多く、一箇所でも弱いところがあると、そこから侵入されてしまいます。誰か一人でも意識の低い人がいると、そこから情報が漏れてしまうため、全員が同じレベルで高いセキュリティ意識を持つことが重要です。
