自分は IT 業界の人間なんだけど、ある時期以降日常業務におけるセキュリティに関する対応が増えていて、(たぶん、どこもそうなんだろうけど)それについてモヤモヤしてることを吐き出しておきたい。
末端で働く側から見ると、セキュリティインシデント対策/予防のメインは「末端に対する注意喚起と教育」に見えるんだよね。
「常に気を付けろ!」「セキュリティ意識高めろ!」みたいな精神論に終始しているように見える。
あげく「セキュリティ事故があったらたいへんなんだぞ!」みたいなビデオだの見せられた日には「精神論の次は脅しかー」と思う。
ついでに誓約書まで書かされたりして、マイルドパワハラとでも呼びたいぐらいだ。そのうち血判状とか言い出しかねない。
これって、末端に対するしわ寄せだよなあ。と思うわけです。
「何かあったら意識が低いお前が悪いんだからな!」とでも言わんばかり。業務は組織としてやってることなのに、問題があったらいきなり個人の資質にその原因を求めんのかよ?と思うわけ。
現場はあれこれのデータを扱ったり持ち出したりせざるを得ない状況があるわけで(そんなのおれたちだって望んでいない)、どんなに気を付けて意識高く持っていてもゼロリスクはあり得ないし事故は起こる。
実際のところ、組織はそれなりにいろいろやってるとは思う(てか思いたい)。
・(中位)インシデントを防ぐ仕組みを導入
・(上位)インシデントの損害をあらかじめ折り込む
下位についてはそのまま。中位については、アクセス権の管理や、認証技術の導入、ワークスペースのゾーニングとかかな。上位については、食べ物屋さんの廃棄率とか工場の歩留まり率みたいな話。
そうした取り組みって末端の現場にはあまり説明されていなくて、精神論をキーキー押し付けられてるようにしか見えないんだよね。(仕組みは変わったら嫌でもわかるけど)
なんか、話が飛び飛びになってるけど。。何が言いたいかって言うと、「どう分析して何をやってるのか、ちゃんと説明すれば?」ってこと。
現場への注意喚起と教育だけじゃ「また上が現場の事もわからず勝手なこと言ってるぜ。クソが。」としか思われないってこと。
以下蛇足
末端の人間で、「セキュリティ事故の原因は個人の意識の問題だと思いマース。」みたいなこと言う人って、明日は我が身なのを想像できないのかね。。自分で自分の首絞めてるってゆーか。上からのウケが良いからそう言ってる部分もあるだろうけど。
----