「組織の文化とルールの変え方」を正しく知る

「不審なメールはクリックしないでください」「パスワードは8桁以上英数字を混ぜて作成し、定期的に変更してください」──。IT部門やセキュリティ部門がこうしたルールを作成してユーザーに守らせようとしても、ほとんどの場合うまくいかない。

「守るもの」を知り、そこで防ぐべき「脅威」に対しセキュリティリスクに優先度をつけて、対策を実行していく。こうしたプロセスによってセキュリティ水準は間違いなく高めていけるが、近年のセキュリティ対策が難しいのは、ユーザー側のちょっとしたミスが、組織運営にも影響を及ばしかねない事態を招くことだ。従業員のうちたった1人が悪意のあるメールを開いただけで、マルウェアに感染し、すべての従業員の情報やすべての顧客の情報が漏れてしまう。

シリーズ最終回となる本稿では、人の脆弱性によるリスクを引き下げるためにどのようなアプローチで組織の文化やルールを変えていくべきか、解説していこう。

• SBテクノロジー株式会社
  プリンシパルセキュリティリサーチャー
  辻 伸弘 氏

[知るべきこと④「組織の文化とルールの変え方」]
「ユーザーの可用性を妨げない」ことを意識する

1人にも感染させないようにさまざまな対策を講じた結果、かえってそれがユーザーのやIT利用やシステムへの満足度を下げてしまった――

IT管理に携わる方ならば誰しもそんな経験を持っているのではないだろうか。辻氏はこういった事態に対し、あまりにもルールが守られないならば、ルール自体に問題があると疑ってみるべきとアドバイスする。

ルールが守られないのは、そのルールによってユーザーが不便に感じることが多いからだ。不便を強いるようなセキュリティは、一時的にこれが守られても、長続きしない。それどころか、ルールが順守されていないことを把握できない状態となると "安全ではないのに安心する" ということとなり、是正されることもなく結果、脆弱性を生んでしまうということもある。アンチウイルスやファイアウォールがなぜこれだけ広く浸透したか。それはきっと、自分のやりたいことが妨げられなかったからだろう。守られていることを意識せずに仕事を続けることができる。このような「ユーザーの可用性を妨げない」仕組みづくりが、組織の文化とルールの変えていくうえでは求められる。

では、そのためにはどうすればいいか。ポイントとなるのは、ルールを人に強制させないこと、そして、事故が起こることを前提にして、リスクや事故が生じたときにもシステム側でセキュリティを担保する仕組みを構築することだ。前回辻氏が触れたパスワードの取り組みが、具体的な例として分かりやすい。

こうした仕組みを整備するうえで重要なことに、「人を責めない」ことがあるという。例えば、不審なメールを誰かが開いてしまっても、「開いたのは誰か」を探しだして問い詰めるようなことはしない。むしろ、開いたら報告してもらい、報告したことを評価するようにする。後はシステム側が巻き取って問題を迅速に解決していく。そうすることで、速やかな報告が促されるようになっていき、結果的にスムーズな対処が可能になるという。

ミスをしない人はいません。何かミスをしたときにその人を責めても何も問題は解決しません。ミスをしないように教育することも必要ですが、ミスを起こすことが当たり前だと考えて、迅速に報告が上がってくる文化をつくり、有事の際にどのように対応するのかをユーザー個々人に浸透させ、組織として対応できるようにしていく必要があります。

人を責めずに仕組みを責める

こうした「人を責めない」という発想は、製造業における工場のラインなどでも採用されているものだ。ある工場では、ラインに違和感が発生すると、ラインの担当者が「紐」を引っ張ってラインのリーダーを呼び判断をあおぐという 。ユニークなのはそこで設定されているルールだ。

そのルールは「考えなくていいから引け」という非常にシンプルなもの。何も考えずに引くことができるので、リーダーはラインの違和感をすぐ把握できるし、シンプルだからユーザーの可用性も妨げない。1日に200回は紐が引っ張られるそうだが、リーダーの意思決定により仮にラインを止めても、原因を特定してトラブルを解消するまでの仕組みが既にできているためすぐにラインを再開できる。

もし「（違和感があったら）考えなくていいから引け」ではなく「何か問題があったら引け」というルールが設定されていたらどうか。この場合「何か」を現場の担当者が判断する必要がでてくる。判断が遅くなって原因の追求ができなくなることもあるし、問題を起こすことを恐れてリーダーを呼ばなくなる可能性もある。「考えずに引く」という極力ユーザーの負担を減らしたルールにすることで、人のミスをシステム全体でカバーできるようになったわけだ。

この例が素晴らしいのは、ミスがきちんとシステムでカバーできていること、そしてそれをチェックする仕組みもあることです。ラインのリーダーがラインの中にわざと不良品を混ぜたり、部品を抜いたりします。それを検品で見抜いて担当者がきちんとラインを止めるかどうかをチェックしているのです。こうした "いじわる" なチェックの仕組みは、意外にも、現場の担当者の要望をきっかけにして 作られたそうです。単純作業をしていると緊張感が低下するためそれを避けたいという思いがもとになっていますが、人を責めないことで担当者とその管理者との間に信頼関係が生また結果ともいえるでしょう。1つのルールが組織内に信頼関係を生み、結果として全体の風土を大きく変えた好例だと思います。

普段の業務の延長で「組織力」を養う

セキュリティの取り組みで重要なのは、今述べたような「人やプロセスによって生み出される組織の風土、文化」をどう作りだしていくかだ。

ユーザーは、何か問題を起こしたとしても報告すれば褒められる。管理者は、人を責めるのではなく仕組みが悪いと考えてそのためにルールを改善していく。組織のセキュリティを強化していくうえでは、ユーザーと管理者の間に信頼感を生み出しながら「組織力」を作り出していくことが重要だ。

また、今日のサイバー攻撃は予測できない自然災害のようなものであり、何が起きるかは誰にもわからない。自然災害に対して備蓄や訓練、事業継続のためのマニュアルや設備の整備などを行うように、サイバー攻撃に対しても "起きてしまったときにどうすればいいか" を準備しておく必要がある。

セキュリティは目に見えないこともあり、何か特別な計画や対策が必要と思われがちです。ただ、これまで投資してきたインフラや既存のルールを少し見直すだけでも、「組織力」の向上につながることは多いです。これは私自身がお客様のセキュリティをサポートしている中でも強く感じています。セキュリティ対策を特別なものと捉えるのではなく、普段の業務の延長線上にあるものとして取り組んでいくことが大切です。

*　　*　　*

限られた資源を適切なセキュリティ対策に割り当てる。そのために知っておくべき4つのことと題し、「守るもの」「脅威」「セキュリティ製品を選ぶ視点」「組織の文化とルールの変え方」を紹介してきた。1回目に記載のとおり、セキュリティ対策に取り組むうえで第一に重要なのは、組織のアセンスメントだ。「守るもの」を知ることを基点とし、自組織にとって最善のセキュリティ対策を実践していってほしい。

[PR]提供：ソフトクリエイト