情報セキュリティはまじめにやるほど脆くなる

こんにちは。11月から新しい環境で働き始めました。環境がコロコロ変わるとむしろ楽しくてしょうがない松井です。

この状況、ノマドというよりは移民のようですね。テーマソングは移民の歌(レッドツェッペリン)です。

今日のお話は、企業で働く皆さんをいつも悩ませる情報セキュリティについてです。

例えばISO27001(以下ISMS)を導入しようという企業であれば、セキュリティ意識を高め、全社員が一丸となって高いレベルのセキュリティを実現しようと躍起になっていることでしょう。

しかし皮肉なことに、導入のモチベーションが高すぎるとその思いとは裏腹に穴だらけのザルザルシステムが出来上がるんです。

まず前提として覚えておきたいのが情報漏洩などのセキュリティ事件、事故というのは企業の内部で起こるものがほとんどであるということです。

外部からの不正アクセスなどによる事件はほとんどないのですね。

次に、情報セキュリティを高めた場合のデメリットを見ていきましょう。

情報セキュリティを高くして真っ先に影響を受けるのは業務を行っている従業員のたちです。管理職や経営者はそこまでバリバリとパソコンで作業をするわけではないので、システム変更やセキュリティ強化の影響を実感することは無いでしょうね。

セキュリティを強化する場合にはアンチウィルスやデータの暗号化、インターネットのフィルターに操作ログの監視と、コンピューターの負荷を増やすことこの上ないマッチョ ソフトウェアを導入します。

実際、そういう企業ではたらいてたときはパソコンのパフォーマンス半分くらいになったんじゃないかとすら思えました。

こんな環境で、ちょっとネットワークの知識を持っている人はどう考えるかと言えば抜け道を探すんですよね。なんせ仕事が進まないから。

そうやってイレギュラーな使い方がトラブルを引き起こしたりするもんです。しかも、他の誰も把握できないという。

次に、上でも触れたコンピューターのパフォーマンス低下の問題。パソコンを使いだそうとするときには何回もパスワードを入力し、ちょっと時間をおけばまたパスワードを求められ、使っているときは動作がもっさり。

こんな環境を作ってる人々は現在の仕事のなかでコンピューターの操作がどれだけの割合を占めているかわかっているのでしょうか。ほんのちょっと動作が遅くなっても長時間作業をすれば影響が大きいというのに、セキュリティを過剰に強化したパソコンでの作業効率は散々なもんです。

こうした状況では従業員のモチベーションは下がるか、抜け道を探す方に向かうかの2つです。

それでも、企業は世間の流れ、お国のお布令に従ってまじめにこつこつとセキュリティを高めて行くのです。

でも、よく考えてください。

セキュリティ強化を訴えかけ、IT立国とか言ってる国の要、政府やら自衛隊で情報漏洩は起きているじゃないですか。しかも、原因は人です。データ持ち帰ってなくしたり、ファイル共有ソフトを使ったり、怪しいメールをやたらと開いたり。

そんなわけでやたらめったらとセキュリティを高めたところで誰も得しないどころか逆に危険性を高める要因になっているということもあります。本当にそこまでして守るほどのデータを持っているのか、改めて見直して欲しいです。

何でもまじめに考え、まじめに取組むと今やっていることに没入しすぎて俯瞰してみることができなくなります。そういうのをまじめの罠と言うんだと勝間さんが言ってました。

情報セキュリティも程々にしましょう。

〜参考資料〜
情報漏洩対策サイト　第一回　原因の80％は内側にアリ－【セコム】
http://www.secomtrust.net/infomeasure/rouei/column1.html