ガートナージャパンは8月10日、従業員のセキュリティ意識の現状に関する調査結果を発表した。
国内企業の従業員300人以上の組織を対象に、2023年5月に実施したユーザー調査によると、4割を超える国内企業が「自社の従業員のセキュリティ意識は低い」と回答した。さらに、自社のセキュリティ・ルールについては、過半数の企業が「セキュリティ・ルールは分かりにくい」と認識していることが明らかになった。
Gartnerは、2013年以降、「人中心のセキュリティ:People Centric Security (PCS)」を提唱している。PCSとは、従来のIT部門主導の境界型セキュリティに代わり、従業員がセキュリティに直接および積極的に関与することでセキュリティの向上を目指すもの。
これは、個々の従業員のセキュリティ責任の下でセキュリティ保護を実行する形に変更する代わりに、従来のようなセキュリティの禁止事項や制限を極力なくしていく、というアプローチである。DXの推進では、業務プロセスの中で従業員が自ら積極的にセキュリティの実践に関わることが多くの場面で求められるようになっているため、DX時代のセキュリティとして、PCSがあらためて注目されている。
PCSのセキュリティの実践に当たっては、IT/セキュリティ部門にも事業部門にも、新たな姿勢が求められる。
IT/セキュリティ部門は、従業員のデジタル環境や業務プロセスを理解した上でセキュリティ・ルールを作る必要がある。
一方、従業員はセキュリティに無関心な姿勢を貫くのではなく、「自由で柔軟な業務環境を維持するために、自分たちにはセキュリティに対する大きな責任がある」というように、認識を改める必要がある。それには、セキュリティ/リスク・マネジメント (SRM) リーダーは、従業員のセキュリティ意識向上に向けた取り組みを「全社レベルの取り組み」として、社内の体制作りや新しい戦略の策定を進めることが重要である。
また同調査では、「従業員のセキュリティ意識の改善に必要なことは何か」についても尋ねた。その結果、回答が最も多かったものは、「ITリテラシーの向上」であった。
この結果からは、多くの国内企業でセキュリティ・リテラシー向上の活動とITリテラシーとの相関を重視しているという姿勢が読み取れる。
デジタル・ワークプレースやエンドポイント環境の急激な変化の中で、企業はマルウェア対策、脆弱性対策、データ保護などさまざまな対策を講じてきた。
一方で、従業員自身の「顧客を守る」「自社ブランドを守る」「顧客の信頼を裏切らない」といった情報に対する意識や、情報を守るためのリテラシーが高くないと、せっかくの対策も効果が半減し、宝の持ち腐れになりかねない。実際に、多くのセキュリティ・インシデントは従業員自身のITリテラシーや意識の低さが原因となっていることが多く、ITリテラシーとセキュリティ・リテラシーは連動している。
セキュリティ・ルールは従業員の毎日の業務に密接に関わるため、面倒なものや矛盾するようなものなど、従業員が感じるわずかな摩擦がセキュリティに対する大きな嫌悪感を生むという点を十分に認識しておくことが重要であると同社は指摘している。IT/セキュリティ部門と事業部門の距離が離れていては、どういった点に摩擦があって従業員のセキュリティへの積極関与が進まないのか、本当の理由は見えてこない。
同社のシニアディレクター アナリストである矢野薫氏は次のように述べている。
「IT/セキュリティ部門と事業部門の関係性について、これまでのようなセキュリティ・ルールを『守らせる側』と『守る側』のような画一的な対立関係から早々に脱却する必要があります。そして、『セキュリティ・ルールが現実的なものなのか』『守られない原因は何か』について、現場の声を拾い上げながら評価と検証を繰り返すことができるよう、部門をまたいだ協働体制を強化し、維持していくことも重要です」
[i Magazine・IS magazine]
