Scribble at 2023-11-08 17:03:32 Last modified: unmodified

これは情報セキュリティのマネジメントを担っている実務家であれば、本来は全ての事業者が情報資産をもつのだから他人事ではないわけで、こんなもん競合であってもメシウマでは済まされない。

ただ、こういう事案で難しいのは、コンプラだのガバナンスだのと横文字を声高に叫んだり、ルールを作るだけでは効果がないという事実である。しかし、だからといって「効果を確実なものとする」ために（これは ISMS やプライバシーマークの監査でも頻繁にお目にかかる表現なのだが）過剰なことをしても逆効果である。それこそ、昔から security vs. business などと揶揄されてきたとおり、業務の効率を著しく下げるようなことを実施するのは本来のビジネス・プロセスを歪めることになるし、ましてや外形的・対外的なポーズの意味しかなければ更に無意味である。第三者組織による監査で審査員へ見せびらかすためだけに格好良くデザインされた規程書を印刷するようなものだ。

また、対処療法的に社員を監視するクズみたいなアプライアンスを軽率に導入することも避けたほうがよい。当社でも、以前にテレビ・コマーシャルを展開している某 SkySea というシステムを導入していた時期があったけれど、とにかく最低限のポリシーや取得ログに設定していても従業員のパソコンの処理能力が劇的に下がってしまうし、はっきり言って大量のログなど取得したところで適切なアラートを設定できなければ監視など正確かつ迅速に行えるものではない。また、FortiGate のような UTM も導入していたけれど、いまやリモート・ワークが常態化していては、会社のルータにぶら下げた UTM なんて殆ど意味がない（もちろん、各家庭からいったん社内のマシンへ VPN でリモート・デスクトップ接続させてからインターネットを利用させるなんていう会社もあるわけだが、各マシンから好き勝手にネットへ接続することを止められるわけではない）。

要するに、情報セキュリティ対策の基本的なポリシーにも関わることなのだが、まず大切なのはルールを破るインセンティブを潰すことだ。ルールを無視したほうが仕事しやすい（と思い込んでいる）からこそ、社員はルールを守らないのである。そして、その原因の一つはルールそのものが複雑で難解な説明となっていることにある。分からないルールを守る必要はなく、そしてたいていのサラリーマンというのは、自分が携わっている主業務を除けば他の管掌について自ら学ぶ意欲なんて殆どないわけで、それを責めてもしょうがない。彼らは僕らのような natural born academician や natural born philosopher ではないのだから、色々なことに興味をもてと言う方が無理である。これは何もバカにしているわけではなく、それが自然な態度であって、色々なことへ興味を持つのは多くの場合に非効率や注意不足を引き起こすので、たいていの従業員には無理に求めてはいけないことなのである。しかし、だからといってエクセルや Photoshop だけ使ってろというわけにもいかないので、可能な限り無用な抵抗がなくセキュリティや個人情報保護や法令の正確な理解やハラスメントへの注意といったことを浸透させていくのが望ましい。