情報セキュリティの役に立たない”インプット”だけから”アウトプット”への転換
表と裏があるように、物事にも二面性があります。セキュリティ事故、事件が多くなってきましたが、どちらか一方だけが注目されているように感じています。アウトプットは漏洩ではないですよ。
情報セキュリティ、情報漏洩で言えば、ITセキュリティ面がセキュリティのすべてのような感じになっていますが、それも必要な一面だけであり、もう一面である使う人間の側にはあまり注意がされていません。
人間はミスをするもの
と、誰しもが解っていることです。(・・?) えっ・・・知らない?そんなことはない?。。。と。そんな方が居れば会ってみたいものです。
例えば、最近の車は自動ブレーキで衝突前に止まったり軽減したり、車線を監視してハンドル操作を補助したりと、ミスを補正補助する仕組みが一般的になってきました。うっかりミスには有効なものでありますが、誤検知等の場合、やはり最終的には人間の操作が必要となります。
更に言えば、それらの検知を解除したり、敢えて無視することも出来ます。最近でも警告ランプが付いているのに航空機を飛ばしたりと、ランプの間違いなのか、安全警告を無視したのか。。。最終判断は操作する人間に委ねられます。そうでなければ、恐怖の全自動になっています。
人命を預かる場合でも、こんな状況の中、情報セキュリティではどこまで出来ているのでしょう?
ミスを前提に様々な安全的処置があるのが先の例ですが、情報セキュリティに関するミスに対しては、どれほどの準備がなされているでしょうか?
インプットとアウトプット
前回も書きましたが、わかっていることと、実際に出来ることは違うのです。
例えば、情報セキュリティ教育で考えた場合、インプットだけの一方通行的なものが多かったり、e-ラーニングなどでもお約束な確認テストなど、やらないよりはやったほうがいいことなのですが、どれだけの成果が上がっているのでしょうか? 実際に測定したり、現場にいる方ならば、うんざりするほどの事例を見ているはずです。解っているはずなのに、なんで出来ないの?と。。。
ビジネススキルやお勉強等においても、一方的なインプットだけしてきたやり方が、どれだけ使えないものを生み出してきたのか、誰しも経験はあるはずです。これ、やり方に問題があるだけであって「役にたたないねぇ~」と思い込んでいることが、役に立っていないことしかしてないことに気がついていない状況です。
しかし、実際の現場では、役に立っているアウトプットが出来ているはずです。逆に言えば、出来てなければ仕事にならないはず。。。顧客への提案書だったり、社内向けの報告書等々、インプットされたものだけを、何も考えずにスルーして出せるはずがありません。まぁ稀にそんなのも見ることがありますがw
樹海じゃないのだから、入ったら出るのです。知識詰め込み(インプット)の後に、実践応用(アウトプット)しなければ、実際の現場において何の役にもたちません。
情報セキュリティ教育のアウトプット
ニュースになるような漏洩事件、情報セキュリティ事故は、実際に起きているほんの一部でしかありません。ニュース的なネタというか価値で言えば、それなりの企業規模、団体等に限られてしまいます。なので、ニュースで見聞きするものは、相当のインプット教育は最低限されていると思っています。今時ですから。
でも、なぜに減らないのでしょうか?
標的型メールの訓練もおこなわれたようですが、対象者の4割は開いてしまったようです。これ4割の方に問題があると言えないと思っています。一方的なインプットだけをしてきたのに、標的型な事件が増えてきたから、シミュレーションをしてみよう!との試みであり、抜き打ちで行っていることは凄く良い取り組みと思います。間違えられるのはシミュレーションの場である仮の環境でしかできませんから。。。
しかし、このような取り組みも行っていないところが圧倒的、というかほとんどないでしょう。
無理なことは、アウトプットもしてないのに、いきなりシミュレーションと言えども、実践させられるのですから、逆に6割も出来ていたのか!と出来の成果を感じます。
これって、交通法規は座学で学んだ。車のことも何となくわかった。でも実際の車に乗って運転したことがない。免許を持っている人ならば、6月から改正された自転車のルールも解ると思いますが、自転車しか乗ったことがない人に、一時停止の標識とか、道路に書かれた止まれなんかの存在をどれだけの人が知っているのでしょう?見えにくい標識とか、どうも一通逆行しているようなまわりの雰囲気などは、車に乗って走った経験がなければ、なかなか解らないものです。自転車しか乗ったことがない人へ交通法規とかって、無理ありませんか?幼稚園児でも乗っているし。
4割出来てないって、小学生100人くらいに新しい自転車のルールが守れてなければ、即罰則みたいなものに見えてなりません。かなり出来ないと思います。自転車講習なんかあるようですが、運転免許ほど厳しくないですし、それでも免停になるようなことをする人が多いのですから。。。
実際の自転車ルールは即罰則ではないようですが。。。即罰則にしたほうが良いケースもあるように思いますが、浸透させる為には時間がかかるのを解っているからこそ、このようになっているのだと思います。
で、情報セキュリティ教育のアウトプットですが、入れた知識を外に出すこと、自身で租借し考えること。これって先の提案書なんかで言えば、当たり前にやっていることなのに、情報セキュリティというフィルターがかかると、いきなり難しくなってしまうのでしょうか?時間もかかりますよ。
おざなりな情報セキュリティ教育しか行わず、考えてアウトプットしないままに、どうして実践的な応用が出来るのでしょうか?
呑むなら乗るな!と同じく、出来なきゃ辞めろ!的な社会状況になってきています。情報セキュリティというフィルターを外して考えれば、当たり前のことなのです。課題を山積みに増やさず、原点を見つめ直す機会は多くなっています。だって、普通に考えれば、置き換えれば、やっていることなのですから。