現場にルールを浸透させるためのテクニック
セキュリティポリシーも含めたルールを全社に浸透させるには、ある程度のコツやノウハウが必要です。まずは受け入れてもらいやすい環境を作ることから始めてみましょう。
本コラムは2015年8月25日に公開した「現場にルールを浸透させるためのテクニック」を再編集したものです。
グループ会社や現場の事業部にガバナンスを効かせるためにも、ルールはしっかり周知徹底しておくことが重要です。ただ、一方的にルールを押しつけては現場からの反発を招くことにもなりかねません。特にグループ会社の場合は企業文化そのものから異なっているため、既存のルールを大きく変更することはできる限り避けたいと考えるはずです。
実際に効果があった方法は、現場に対してメリットを提供できる環境をあらかじめ作っておくことでした。具体的には、ルールを現場がそのまま適用するならば、資料やツール、窓口など必要な道具を全て提供し、セキュリティ担当を置くことなくセキュアな環境が維持できるといったメリットのあるアプローチをとるのです。
ただ、グループ会社の場合は完璧にルールを踏襲するわけにはいかないこともありますので、限定的なチューニングは許可した上でルールの適用を打診してみることが大切です。
駆け引きは日常と同じ 卑屈にならない
以前、あるルールの適用についてのWebテストの受講をお願いしたところ、グループ会社のあるブランチから拒否されたことがありました。恐らく、現場のメンバーにテストを受けさせたくない理由があったのだと思います。このような場合、どういうアプローチが適しているのでしょうか。
私は「分かりました、ではテストは受けなくて結構です。ただし、こちらからは何も提供しません」と電話を入れ、受話器を置きました。結局、15分後にきちんとテストを受けさせる旨の連絡をいただくことができたのですが、相手が人間である以上何からの駆け引きが必要な場面はあります。これはセキュリティに限った話ではありませんが、正攻法だけで前に進まない場合に備えて、きちんとコミュニケーション上で駆け引きできるスキルは必要です。
このあたりはマニュアル化できるものではありませんが、私自身はこういった駆け引きを日常的に繰り返しながら、ルールを現場に浸透させるべく奮闘してきたのです。
浸透させるためのトップアプローチ
最近はさまざまなものが見える化の対象になっていますが、セキュリティに関しても見える化はとても大切です。実際に大きなセキュリティインシデントが社内で発生すると一気に対応が進むのが現実で、悪い言い方をすれば「浸透させるためにはインシデント」という事故待望論がないわけではありません。
しかし実際にそんなことは起こせません。そこでどうするかというと、「薄いインシデント」をまいて常にインシデントが発生している危機状態を作り出すのです。これがセキュリティにおける見える化です。
特にエグゼクティブには大きな効果を発揮します。エクゼクティブ会議などで月次、クオーターごと、年次といった単位でインシデントや検査結果レポートを作成し、毎回持ち込むのです。すると、どの事業部が上手なのか、どのベンダーが良いのかがはっきりと成績表となって表れるため、結果の良くない事業部のトップは次回までにセキュリティ強化を現場に指示するようになります。
小さなインシデントを積み上げていくことで薄いインシデントとなり、それがエグゼクティブの会議の中でみんなの脳の化学反応を起こさせることができます。なお、この薄いインシデントは意識アップの効果が大きいので現場にもきちんと展開しておくべきです。
そもそも現場にセキュリティを浸透させるためには、PDCAならぬ「EDCA」が必要だというのが筆者の持論です。Plan(計画)ではなくEducation(教育)が必要で、教育を行って検査を実施し、監査をしアクションを起こして修正する。そしてまだ教育に戻っていくという流れが大事だと考えています。
この現場でも、何かあるたびに教育だといって人を集め、監査だと言って現場を調査してフィット&ギャップを確認するといった、絶えず薄いインシデントをまき続ける。これが現場にセキュリティ意識を根付かせていく秘訣(ひけつ)なのです。
教育ツールも大変革を起こしつつあります。これまで一般的に企業ではeラーニング活用は避続けていた気がしますが、非常に革新的なシステムもOSSで出てきおり教育方法も見直す時期にきてると思っています。
関連記事
パスワードは定期的に変更すべきか
これまでのパスワード管理の常識はもはや過去のもの。パスワードの定期更新はリスクを高めるだけだ。
「人材不足」は、情報セキュリティの10大脅威か?
「情報セキュリティ10大脅威」の2018年版順位が先行発表された。ランク外から登場した3つの脅威について解説しよう。
セキュリティ対策費を確保するならリスクベースで語れ
「ITセキュリティに投資を行わない」という企業は、ほぼ存在しない。だが、「どのように投資すべきか」に悩む担当者は多い。
標的型攻撃への対策状況(2018年)/前編
キーマンズネット会員197人を対象にアンケート調査を実施した。実際に標的型攻撃を受けた経験の有無や被害内容などに関する質問を展開した。
標的型攻撃への対策状況(2018年)/後編
キーマンズネット会員197人を対象にアンケート調査を実施した。社内セキュリティ体制や導入するセキュリティ製品など企業の標的型攻撃への対策状況が明らかになった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- 守りきれないVPN、放置か脱却か? セキュリティ対策の実態調査【2025年版】
- Power BIは無料版でどこまでできる? 実務未経験の筆者が試してみた
- Microsoft Copilotを使いこなせない人に共通する“思い込み”とは?
- 文字起こしサービスを格安で使う節約ワザとは? とある開発者が発見した穴:837thLap
- マクロ地獄、属人化を覚悟しても「使うしかない」Excel利用現場の課題【2025年調査】
- 間違いだらけのパスワード管理 守るつもりが危険を招く7つの誤解
- VPNが危ない どうすれば新手のサイバー攻撃を防げるのか?
- Zoom WorkplaceはZoomと何が違う? 変更とメリットを総整理
- NTTデータがNotionで情報共有基盤を刷新した理由
- 悪用の可能性が高いVPNの脆弱性 ベンダーが大丈夫だと断言した理由は
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。