この連載の初回で述べたように、情報セキュリティ対策が高度化・多様化しているにもかかわらず、セキュリティインシデントは減少するどころか増加傾向にすらあります。その原因の多くに管理ミスや確認漏れなどの人的要因が直接的または間接的に関係しているのです。このため、目に見える対策だけでなく、組織に属する人々の意識を変えていくこと、つまりセキュリティ教育による意識変革・向上を行い、安定的かつ長期的に組織全体のセキュリティを維持向上することが不可欠ではないかと考えられます。

特にルールを策定するセキュリティ責任者や担当チームの場合、当然ながら自分たちはセキュリティ意識が高いので、容易に推測されにくいという表現でも高いレベルのセキュリティが維持されるだろうと考えるかもしれません。しかし、実際にこのルールを読む人の多くは普段からセキュリティに深いなじみがあるわけではない一般従業員や新入社員などであることを考えると、人によって解釈が分かれてしまうような表現を避けるべきであることは明らかです。判断がブレない明快簡潔なルールを策定するよう、注意を払うべきと言えます。

セキュリティ文化を醸成するための具体策 (2/2) - ITmedia エンタープライズ

先に述べたように、セキュリティ文化とは組織に属する多くの人々のセキュリティに関する考え方や行動指針についての「共通認識」であると言えます。共通認識と言うからにはお互いが同じ認識を持っていることを常に確認し合えることが必要です。いくらトップが明確なメッセージを打ち出しても、セキュリティ部門が分かりやすいルールを策定しても、やはり従業員一人ひとりの経験や立場、育ってきた環境が異なれば受け止め方も変わり、行動への反映の仕方にもズレは生じるものです。
それを一つひとつ経営層やセキュリティ担当チームが発見して指導することは現実的に不可能であるため、現場が自発的に悪いところを修正し、あるべき姿に向かって成長していく推進力を持つ必要があります。そのため、セキュリティに限った話ではありませんが、現場の従業員一人ひとりが自分よがりにならず、お互いを認め合いながらもいい意味で牽制し合える緊密なコミュニケーション環境が必要であると言えます。

セキュリティ文化を醸成するための具体策 (2/2) - ITmedia エンタープライズ