セキュリティ事故を早く報告してもらうには

　CISOとして仕事をしていると組織がセキュリティを保つ要素として、社員に嘘をつかれないことの重要性を感じることが結構あります。どんなに立派なセキュリティポリシーを作成しても、全員で守っていかないと何の意味もありませんし、もしセキュリティポリシーを守っていないのに、「守ってます！」と嘘をつかれてしまうと最悪です。

　現実には社員全員が、セキュリティに対する意識が高いかというと、なかなかそう理想的にはいきません。内部監査などを定期的に行なって意識を高める行動は行なっていますが、やはりセキュリティを守ることは本来の業務ではないため、どうしても意識の低い人が出てきます。ここで誤解されないように書いておきますが、意識が低い人が、悪い人かというと必ずしもそうではありません。つまり悪意を持ってルールを守らないというより、真面目ゆえに、本来の自分の仕事を優先してルールを守れなかったという人が出てしまうことがあるのです。

　例えば「うちのCISOはうるさいから、セキュリティのルールは守っていると言っておこう」などという人が出てくるのは、避けなければなりません。そうかと言って、「飴とムチ」のムチを使って罰則規定でしばろうとしても、へたをするとルールを守らないことや、セキュリティ事故を隠そうとする人を増やすことになってしまいます。逆に、密告制度を作って褒賞金を出すのも組織がギスギスしてうまくいかないでしょう。　

　では、社員に嘘をつかれない良い方法は、無いのかというとそうではありません。一つの方法としてはセキュリティポリシーのルールはトップダウンではなく、皆で作ったんだという実感を持ってもらうことです。例えば、クリアスクリーンポリシーを作成する時に、三つくらいの対策案を出します。そして、アンケート方式で「どのルールが一番守れますか？」と社員の人に聞いて一番多かったルールを「皆さんの意見を尊重してこう決めました」と発表します。もちろん、用意した三つの対策案は充分吟味しておかなければなりません。

　こうすると、自分もルール作りに関わったという意識が働き、決まったセキュリティポリシーを守らなければという気持ちになります。尚、このアンケートを行なう前に、関連する事故事例などを発表しておくともっと万全になります。

　もう一つの方法は、罰則規定です。「罰則規定は効き目なしって書いたじゃないか」と言われそうですが、ちょっとした工夫してみます。人間は、私も含めてほとんどの人が良い報告と悪い報告では、悪い報告をしたくないと思っているでしょう。それが、人間の心理としては当たり前です。ですから、セキュリティポリシーの違反に対する罰則を作るのであれば、「悪い報告を早くした人」に対してではなく、「悪い報告を隠した人」「悪い報告を時間が経ってからした人」に対してするべきなのです。

　もちろん、故意で起こした事故は論外ですが、過失で起こした事故であれば早くルール通りに早く報告すれば、罰則はありませんよと公式に発表しておけば、早い報告が来るようになります。事故が起きないに越したことはありませんが、万一事故が起きた時には、早い報告が、早い対応につながり、結果として事故の影響を最小限度に抑えることができます。

　「セキュリティポリシーを作るのは何か大変そうだな」と思う方もいると思いますが、情報セキュリティの責任者として頭と体を使っているところを、組織の人に見せるのも、組織の人に嘘をつかれないポイントの一つになります。

　今回のコラムでは「あるべき論」より、実際にセキュリティポリシーを運用していく時のテクニック的なことを書いてみました。「そこまでやらないといけないの！？」と思う方も多いかもしれませんが、セキュリティポリシーを作成して、全員に配布し一通りの説明をしただけでは、半年後には形骸化してしまうのが実態です。システムのプロジェクトリーダーを経験した方はお判りだと思いますが、セキュリティポリシーの運用も一つのプロジェクト推進と考えれば、リーダー（CISO）が全員のモチベーションを保ち続け、緊張感も保ち続けていく努力をしなければならないのです。