オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

原因は理解出来ない会社側にあり → 結果はセキュリティ要員が燃え尽き症候群で離職するという、誰にも良い状況とならない悪循環

»

どの世界においても、似たような問題は多いようです。個人的な経験からは「なんかこういうの多いなぁ...」くらいだったものが、ここ数年は深刻にマズイのではないか?と気がついてくる方々を、少数ながら見聞きするようになってきたことだと思います。

セキュリティ要員の燃え尽き症候群は組織に脆弱性をもたらす--CISOへの調査
ロンドン大学ゴールドスミス校とサイバーセキュリティ企業Symantecが英国とフランス、ドイツをまたがり、3000人を超える最高情報セキュリティ責任者(CISO)とサイバーセキュリティの意思決定者を対象にある調査を実施した。それによると、サイバー脅威から組織を守るための責任者に対するプレッシャーが高まることで、さまざまな問題が首をもたげてきているという。
同調査によると、サイバーセキュリティ要員のうち3分の2近くが、こういったプレッシャーにより、退職を考えた(64%)、あるいは業界から去ることを考えた(63%)という。

記事を勝手に要約すると、

1.セキュリティスキルに金銭的価値があるため「その利用用途」を、正しい防衛側に使うか、不正な犯罪行為に使うか?

2.日々新しい攻撃手法が出てくる中、そのスキルを得るための時間と必要なコストが潤沢に使えるほどのリソースと環境がない。

上記 1.2.の状況から、非合法な方向に行きがちらしいです。

同時に、こういう要因が絡み合った結果、セキュリティ要員の方々は燃え尽き症候群になり、増加もしている...ようです。

...結果、セキュリティ要員の方々は、ストレスから離職してしまい、企業側はスキルをもった専門家不在によりリスクは増大するという形になっているようです。詳しくは、上記リンクから読まれてください。

参考過去ブログ:「マネジメント」カテゴリーの投稿

原因は理解出来ない会社側

タマゴとニワトリのような話じゃないですよ。規模の違いこそあれ超一般的な言い方をすればと、ヒューマンリソースに関するわかりやすい言い回しを調べようとGoogle先生に聞いてみたところ、残念な感じになりました。これも現実なのでしょう。

Image 1

会社、人材で続きワードの連想される結果がコレです。本題へ入る前にと思っていましたが、本題も調べてみました。

Image 2

検索キーワードに連想される上位の候補が出てきているわけですが、色々と考えるところです。

会社人材の育成に関する難しさもありつつ超乱暴な言い方をすれば、育たないなら使い捨てもアリかもという「会社か従業員かどっち側の考えかわからない」ものが上位に上がっていることが、ここからだけでは読み取れない何かがあるのかも知れません。この見方なんて、何をどういうアプローチかだけで全然変わってくるので正解なんてありません。単に続くキーワードとして「使い捨て」が上位にあるだけです。

で、セキュリティのほうですが人材足りないのが顕著に出ています。分類とかスキルも資格や経歴で判断するしかありません。最後の2行が気になるところです。興味のあるかたは、直接調べてみて下さい。

やっと本題ですが、何をやっているのか、それがどういう重要性なのか?と、業務の中身を理解していなければ

・なぜそんなに時間がかかるのか?

・それがどれ程重要なことなのか?

と、わからないからこそ普通の疑問として出てきます。そして理解出来ないので「ちゃんと仕事しているのか?」と、不遇で評価されない環境に置かれている。という方々を多く見てきました。

セキュリティに重要性がないのならば、こんな人材使う必要ありませんので、雇用しなければ何も問題は起きません。と言っても実際には重要性はわかっているけど、中身がよくわからないという現実が問題があり、それでもしなければならないというところの悪循環から、色々と引き起こしています。

そのまま、勝手に問題無く仕事してね♪ と放置しても時間は平等に経過していきます。いずれ問題は色々と出てきます。理解してない状況で重要性も変わらないので、何を説明してもわからないし、コストのかかるものはどうにかゼロに近づけておきたいと。そりゃ中身変わらないから重要性よりも、誰にでもわかるモノサシである単位の¥お金となります。よくある最大の大きな間違いとして、自身が判断出来るモノサシだけで決めることです。まぁ指数が他にないのでわからなくもありませんが、その程度の判断で問題が起きないはずはありません。既にリスクがあるのに、認識してない(できてない)状況です。

セキュリティ要員が燃え尽き症候群で離職

こう書いていけば、少しは離職の原因となる問題かも?となりますかね。どういう立場でそんなこと言っているんだ!と思われますか? どっちでもいいですが、実際に最悪な状況を少しだけ多く見てきただけです。逆にどの立場で「そんなこと言われるのですか?」なこととか。

基本、真面目な方々が多い中、限られた状況でもどうにかしようと頑張っていることを悪意を持って見過ごしているようにしか見えない放置をしつつ、責任や業務負荷の重圧だけはMAXでかける。

時間経過で、問題が起きてくるか? 問題が起きる前に要員の方々が潰れるか? 離職するか? となっているのは、万国共通のようです。

わかっているのにしない? わからないから出来ない?

30年前には、ここで言うようなセキュリティって概念は一般企業にはなかったと思います。一部の企業や軍事組織など特殊なものだったはずです。インターネットや情報の扱い方など、仕事の効率も進め方も大きく変わって来ました。

でも、どうにかなってるよ!と聞くこともあります。どうぞそのまま続けて下さい。何か起きるまでは問題ありませんのでとしか言いようがありません。結局、諸行無常です。

Comment(3)

コメント

iso

30年前も顧客名簿や役所の台帳などをコピーとって名簿屋に売るというセキュリティ事案が「本当にたくさん」ありました。当時保護法はありませんでしたが、信用を失うという点では大きな問題でしたが、一方住所氏名が名簿屋に売られたところで不快なDMが送られてくる程度で、売られた被害者も「まあいいか」程度の認識だったと。
現在はランサムウェア、秘密情報のぶっこ抜き、電子マネーの不正利用など実害が出るにもかかわらず、経営層の認識がまだ30年前のままなんでしょう。

isoさん、コメント有り難うございます。
何年前かわかりませんが、止まったままなのかも知れません。
…で、何もしないと「本当に潰れるの?」と。そこまでないのならば…別に何もしなくてもいいんじゃね?な感じのようです。
罰則的なもので無ければ、モラルも何も別に関係ないようです。結局は利害関係者全員に及ぶ問題なのですが...
最終的な歪みは、あらゆる場所で必ず表面化します。因果応報という言葉でしか表現のしようがないです。

iso

とはいえ、我々「コチラ側」の人間が大騒ぎしてるだけなんじゃないか?と。
因果応報?そんな事例聞いたこともないよ、へえ、そういうセキュリティ事故が起きてるの、でも大変なことになったなんて聞いてないよ?
と言うのが中小企業の経営者像ですね。
個人情報保護法違反ですら、個人情報保護委員会の指導命令に「違反」して初めてわずか30万円の罰金なんですから、そりゃ何百万円もかけてセキュリティを整備する必要はありませんよね。ベネッセ?ソフトバンク?アレはよその世界の話だよハハッ!

コメントを投稿する