セキュリティのルールは破るためにある?視点を変えれば守りにもなるのだ
実態調査によると、破って当たり前のようです。半数ちかくの人が守ってない結果になっています。これは単にルールを守ってないという話ではないと。。。思うのです。
多くの企業で、従業員が社外秘情報をUSBメモリにコピーして持ち出したり、同僚と同じパスワードを使ったりするなど、会社のセキュリティポリシーを無視した行為が日常化している。フラッシュドライブメーカーIronKeyが6月10日に発表した調査で、こうした実態が明らかになった。
調査は、IronKeyの委託で調査会社Ponemon Instituteが従業員を対象にアンケート調査を実施した。それによると、従業員の69%が社外秘などの情報をUSBメモリにコピーしていると回答。しかし、会社のポリシーでこのような行為が認められているのは13%のみで、48%がポリシーに従っていないことが分かった。
なぜ、こんな事になるのでしょう?って・・・難しいことじゃないのです。普通に仕事をするのに「これらを破らなければ」円滑に業務が進まないからです。
かっぱらい天国じゃありません。確信犯のかっぱらい系の人には、「ルールを破る」という言葉が辞書にありません。
真面目に仕事をしている人たちが、なぜこんなことをしなければならないのか?←ここが抜けているのです。
前回書きました、情報セキュリティ標語の「き」:金曜日、残った仕事を、持ち帰るでも、なんで「こうする」必要があるのか?と考えなければなりません。労働環境の話です。
「個人で使うインターネットソフトを会社のコンピュータにダウンロードしている」という従業員は53%、「職場のコンピュータのセキュリティ設定やファイアウォールを無効にしている」は21%、「同僚と同じパスワードを使っている」は47%。「情報を記録したリムーバブルメディアを紛失したことがある」と答えた43%のうち、72%はすぐには会社に届け出なかったと打ち明けた。
この要因と結果の数字をどのように読みますか?
・ルールを守らなかったから?確かにそうです。
・セキュリティを知らなかったから?かもしれません。
・誰にも言わなきゃわからない!これドカンと大きくきますね←あとで
何もない時に、会社が従業員に質問をすれば、誰しもが「ルールを守ります」と言うでしょう。質問している側であっても「特別な理由」や「例外」などの、大義名分さえあれば、ルールを守れないし、破るのです。
なぜ守られないのか?破るのか?何かの「原因」があるかも知れませんし、単に「面倒」な事だけかもしれません。いずれにしても、守られずに破るにも大義名分があるのです。。。ここにセキュリティの本質があると考えます。
逆の視点から考えなければ、実態に即したセキュリティなんて無理ですね。クレヨンしんちゃんの「ママとの約束事項」は30個くらいあったと思います。どれだけ守られているか不明ですが、1個だけでも守られれば良いものや、1個だけでも守られないものがあればって、私たちも同じようなものです。
連鎖的にブーメランのように自分に戻ってくるような仕組みだったら?と常に考えています。