実態調査で明らかになった「セキュリティ無関心層」の真実、IT担当の打ち手を考える

3

2021年10月26日 07:22  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真オフィスワーカーのセキュリティへの関心(出典:「HP Wolf Security Rebellions&Rejections〜IT部門と従業員の確執」)
オフィスワーカーのセキュリティへの関心(出典:「HP Wolf Security Rebellions&Rejections〜IT部門と従業員の確執」)

 日本HPは「HP Wolf Security Rebellions&Rejections〜IT部門と従業員の確執」という興味深いレポートを公開しました。「IT部門の90%以上がセキュリティ対策の妥協が重圧と回答」というサマリータイトルで予想が付く内容ですが、日本だけでなく世界でもセキュリティ対策の必要性と現場の状況がかみ合っていないということを数値面で裏付けるレポートです。



IT部門の80%が従業員の“抵抗”に遭った(出典:「HP Wolf Security Rebellions&Rejections〜IT部門と従業員の確執」)



 同レポートは2021年3〜4月に、英国や米国、日本を含むIT部門の意志決定者1100人とオフィスワーカー8443人を対象に調査を実施しました。IT部門とオフィスワーカーのセキュリティ対策におけるギャップを明らかにし、ギャップの解消に向けたCISO(最高情報セキュリティ責任者)の役割などをまとめています。



●オフィスワーカーの約半数はセキュリティに"無関心"? 報われないIT部門



 気になる数値をピックアップしてみましょう。同レポートによれば、オフィスワーカーの39%が自社のセキュリティポリシーについてよく理解しておらず、18〜24歳の54%が組織のセキュリティリスクよりも、目の前にある業務を間に合わせることを優先しています。



 同調査では、テレワーク推進に当たってIT部門が強く落たんしたことも明らかになっています。IT部門はコロナ禍でのテレワークに向け、ポリシーの変更や新たなセキュリティの仕組みの導入を進めてきましたが、こうした取り組みで、80%のIT部門が従業員からの抵抗に遭っており、まさに「燃え尽き症候群」となりつつあるのが現状のようです。



 現場は無関心、IT部門は報われず……。この状況で最も得をするのは、やはりサイバー攻撃者でしょう。同レポートはこの難しい現状に立ち向かうCISOに対し、「オフィスワーカーとIT部門は対立すべきものではなく、エンドユーザーに耳を傾け、協調性を向上させたセキュリティ文化を構築せよ」と提言しています。



●業務になるとなぜセキュリティは“邪魔者”扱いされてしまうのか



 これまでも限られたリソースで内部統制やBCP(事業継続計画)、テレワーク対策に奔走してきたIT部門に「もっと頑張れ」というのは酷な話です。オフィスワーカー側も「セキュリティに一切対応したくない」というわけではないでしょう。個人的にはお互いが歩み寄りつつ、オフィスワーカー側の意識を変えていくのが現状可能な改善ポイントだと思っています。



 昨今、サイバー攻撃で運用できないほどに社内システムが破壊されて事業継続が不可能になった事例が多く報道され、情報漏えい事件ももはや全てが報道しきれないくらいに発生しています。これら全てがオフィスワーカーの不注意が原因とは言いませんが「システム管理者が悪い」「私たちは関係ない」という意識は捨てるべきでしょう。



 同レポートでのオフィスワーカーの回答は非常に正直で誠実だと筆者は考えます。確かにオフィスワーカーからすればセキュリティなど興味はありませんし、余計な手間が掛かるものです。セキュリティポリシーを示したところで、ざっと斜め読みをしてくれたらまし、というのが現実でしょう。それでもいつかどこかで対応させなければ、自分の企業組織がサイバー攻撃で甚大な被害を受けるだけでなく、サプライチェーンから外される可能性をはらむ深刻なリスクは残り続けます。CISOや経営者は「自分事」としてセキュリティリスクを考えられるよう、組織を構築する必要があります。



 同レポートで最も説得力のある一文を引用します。



 セキュリティは安全実現のためのイネーブラーです。人々はセキュリティをプライベートでは受け入れています。預金残高の確認やオンラインでの買い物、コミュニケーションも、安全を確保する方法がなければ何もできないことを理解しています。結局は、セキュリティを提供するガードレールが人々の安全を守っています。しかし仕事となると、人々はセキュリティによって安全に業務を実施するよりも、業務が妨げられるということに注目しがちになります。目先のことにとらわれているように思えますが、理解もできます。



(「HP Wolf Security Rebellions&Rejections〜IT部門と従業員の確執」より)



 この通り、実は自分ごとであればセキュリティは個人の最大の関心事であるはずです。その向き先をほんの少し変えられれば組織の全員が自分ごととして、セキュリティを考えられるはずなのです。とてもいいヒントがあるレポートでした。



●従業員の不満を解消するセキュリティ改革



 IT部門や経営者が最も注目すべきことは、現状のセキュリティ施策を変化させないまま進んだ場合に起きるリスクです。同レポートでは、18〜24歳のオフィスワーカーの31%が「セキュリティを回避しようとした」と回答しています。この数字を少ないとみるか多いとみるかは組織次第ですが、個人的にはもっと多くの割合でセキュリティの「回避」が発生していると考えています。



 最悪のシナリオは、セキュリティの観点からメールシステムをVPN経由のみの運用に変更したにもかかわらず、ユーザーが「LINE」のようなコンシューマー向けのメッセージサービスを利用してしまうことです。恐らく多くのユーザーが盗聴のリスクを考えつつも「自分たちの連絡内容程度なら漏れても問題はない」と考えているのではないでしょうか。これを放置することでさらなる「隠れIT」ツールの利用が横行していきます。



 ビジネスにITが必須となった今、システムやITツール選定のポイントは「オフィスワーカーが利用しやすいもの」を超え、「オフィスワーカーが意識せずに利用できるもの」に変化しています。「仕事だから利用しづらくても仕方がない」時代は終わり「仕事だからこそ最高に利用しやすいもの」が求められます。ツール利用を無理強いするようなものではなく、セキュリティがガードレールのように用意され、ある程度の自由さを許容するような仕組みを作ることこそが、上述したセキュリティリスクを抑える最大のポイントでしょう。



 オフィスワーカーとIT部門、経営層との分断は今に始まったことではありません。テレワークの普及がこの分断をさらに加速させているとも言えますが、逆に考えるとデジタルシフトするタイミングとしては今が最適かもしれません。もはや「このソリューションを入れたら安全安心」といったものはありません。だからこそ組織に合った仕組みを、自分たちで新たに作る必要があります。そのときには、オフィスワーカーとIT部門の間を取り持つ新たな人材が注目を集めるはずです。



 組織の若手は、こうしたセキュリティ対策以外に主たる業務を担当しつつ、組織のセキュリティ対策を実践する「プラス・セキュリティ人材」を目指してみてはいかがでしょうか。


このニュースに関するつぶやき

  • 新幹線やマクドやスタバ等のフリーWi-Fiを利用しショルダーハックも会話が丸聞こえなのも何も気にせず仕事をするレベルの人がいて、そういう仕事の仕方を新時代の働き方と推奨する人すらいるのが本当に不思議
    • イイネ!0
    • コメント 0件
  • そりゃ無理だろ、東京都すら接種証明にLINEで免許証の写真送ってくださいという「ありえない」レベル。なぜ懲りない公務員
    • イイネ!0
    • コメント 0件

つぶやき一覧へ(2件)

ランキングIT・インターネット

前日のランキングへ

ニュース設定