無料会員登録
今回は、現場と決裁権限者間の軋轢の要因、「セキュリティ対策」と「セキュリティマネジメント」の”相違”について触れたいと思います。
「マネージャーが決断してくれなくて…」や「すぐ前例を求めるんだよなぁ」といった会話は現場でよく聞かれますよね。このような状況がなぜ起きるのか。現場と決裁権限者の考え方の違いは何なのか。その点を押さえておきましょう。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
「セキュリティ対策」と「セキュリティマネジメント」の違い
この2つの考え方、混同されることも多いのですが、拠って立つ考え方が違います。端的に言えば、下記の通りです。
| セキュリティ対策 | 問題が起きないようにすること |
|---|---|
| セキュリティマネジメント | 問題が起きたとしても、大丈夫なようにすること |
1つ、事例を挙げてみましょう。
“メール添付ファイルのパスワード別送”はセキュリティ対策か
メールの添付ファイルにパスワードをかけて、別メールでそのパスワードを送る手法。
ネットワーク構築経験のあるような方なら、効果が薄いのはすぐわかりますね。同じルートで送付してるんですから、添付ファイルを奪えるなら、パスワードも奪えます。セキュリティ対策としては、あまり意味が無い。
では、現実に通信経路で添付ファイルが奪われて、漏洩したとしたらどうでしょう。漏洩企業はこう言い訳します。
メール添付のファイルが奪われました。パスワードは別メールで送っていましたが、それも奪われてしまいました。想定外でした。
この手法、ネットワーク知識のある方であれば、想定外でも何でもないんですが、一般の方から見たらどうでしょう。
「ウチでも行っている手法だ。それで奪われたなら、運が悪かったんだな」…となってしまうんですよ。
大手企業ならまだしも、中小企業ならまだ十分通用してしまうと思います。「セキュリティマネジメント」としては、採用する余地があるということです。
セキュリティマネジメントとしてはまだ有効か
つまり、現在のところ「メール添付ファイルのパスワード別送」は、
- セキュリティ対策としては、効果がほぼ無い。
- セキュリティマネジメントとしては、まだ効果がある。
ということになります。
もちろん、セキュリティ対策として効果が無い事実が、いずれ世間に広まると、セキュリティマネジメントとしても効果が無くなりますから、注意してください。
決裁権限者の説得の仕方
組織の経営層は、「永続的発展」とか「ゴーイングコンサーン」という言葉に象徴されるように、”組織の存続”が最も大切と考えます。
そのため、「安全になる」と言っても、業務に影響を与えるようなセキュリティツールを入れるのは躊躇しますし、利益が飛んでしまうほどのコストには難色を示します。当然のことです。しかもシステムを知らない方も多いですから、現場からの説明がそもそも理解してもらえない可能性もあります。
組織の存続に影響することをアピールする
このような状況で重要なキーワードは「組織の存続」です。
- そのツールを導入しないまま、問題が発生した場合、企業の存続に係わる。
- その規則を導入しないまま、問題が発生した場合、企業の存続に係わる。
どうあがいても、有事の際、世間を納得させるだけの言い訳が思いつかない、ということになれば、経営層も真剣に検討します。逆に言えば、「現状でも有事の際の言い訳ができるのに、もう少しレベルアップしたいから、ツールを導入したい」といった提案では、経営的には通りにくいでしょう。
お役所仕事でよく聞く「前例はあるのか」もこの考え方に該当します。前例があれば言い訳もしやすいですからね。嫌がる方も多いですが、マネジメントの観点からみれば至極妥当な問いなのです。
マネジメント水準を見極めよう
このように、現場が必要と認識する視点と、マネジメントが必要と認識する視点は異なります。現場の方は、「組織の存続」という点から、決裁権限者に説明をするように心がけてみましょう。
とは言え、不幸にしてマネジメントの考え方を理解しないままの上司というのも、往々にして存在するものです。こういう方は「組織の存続」より「自分の立場」を優先しますので、言葉の端々にその考え方が出てしまいます。
例えば、こういう言葉。
できない理由を考える暇があったら動け
“できない理由”はリスクなのですから、考えなければいけません。もちろん”できない理由”を取り除く方法も考えなければいけませんけども。
例えば、こういう言葉。
知恵を出せ
これもよく使う方いらっしゃるんですが、言い方を変えれば「俺はできないから、お前が何とかしろ」ですからね。マネジメントの”放棄”と言えます。
このような言葉が飛び交っているとしたら、それはマネジメントより自分の立場が大切なのでしょうから、こういう方への説得は、「導入すると上役の個人評価を上げるんだ」と認識してもらえるような方向からが良いでしょう。あまり組織マネジメントとしてはお勧めできる方法ではありませんが。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
最後に
システムやセキュリティのような分野において、現場の感覚と世間の感覚にはズレがあります。現場では大変な事態だと思っているのに、世間では気にしていないことはよくあります(サマータイムなんかは典型ですね)。
マネジメントの立場は、世間の感覚に向いていますので、やはり現場の感覚とは違いが出て来ます。そこを理解して「組織の存続」をキーワードに、上手に上役を説得してセキュリティ水準を上げて行くことが大切です。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
WEB(URL)フィルタリングとは?種類や仕組み、メリットデメリットについて徹底解説
プライバシーマーク・Pマーク取得の4つのメリット
メールサーバーのセキュリティ対策とは?サーバをセキュアにする方法を解説
3Dセキュア(本人認証サービス)とは?仕組みやメリット、注意点など徹底解説
二段階認証とは?仕組みやメリット、二要素認証との違いについて徹底解説
セキュリティエンジニアとは?システムエンジニアとの違い
マイクロソフトのOffice365がクラウドになった理由をセキュリティ観点から考える
セキュリティ事故とは?その原因や被害事例を解説
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
