魂は細部に宿るーセキュリティ教育の在り方

🧩 魂は細部に宿る──セキュリティ対策もまた然り

「魂は細部に宿る」という言葉があります。
これは建築家ミース・ファン・デル・ローエの「神は細部に宿る」という言葉が転じたものらしいですが、建築に限らず、どんな物事も細部がいい加減では、立派なものとは言えません。

見かけはしっかりしているように見えても、細部がいい加減では、いつかボロが出てしまうもの。

そしてこれは、標的型攻撃メール訓練やセキュリティ教育にも当てはまることです。

🧱 セキュリティルールは、なぜ形骸化するのか?

職員のパソコンに個人情報のデータが保存されていて、それが外部に流出してしまった。という事故は昔も今も相変わらず発生しています。

ネットに繋がっているパソコンに重要なデータを置いたりしない。というのは、セキュリティ対策の基本。海外旅行に行って、バッグをそのへんに置きっぱなしにしたら、あっという間に置き引きに遭う。というくらい、ネットに繋がっているパソコンに重要なデータを置くことはとっても危険なこと。

例えば、貯金を持っている上に騙しやすい高齢者の個人情報データなどは詐欺グループにとっては垂涎もののデータでしょう。そんな魅力的なデータが標的型攻撃メール1本送りつけるだけで手に入る。となれば、俄然やる気も湧いてくるというものです。

だから、ネットに繋がっているパソコンに重要なデータなんて置いちゃあいけないんですが、面倒くさかったり、他に置いておく場所がないとかいった理由で、ちょっとの間だけだから。と、ついつい置いてしまう。という事が現場では往々にして行われたりします。

セキュリティ対策の基本を啓発ビデオなどを見せて教育したり、セキュリティルールを決めて周知したりしても、現場の論理や都合が優先されて、色々な事が形骸化していく。

このようなことはどこの会社においてもありがちなことで、あなた自身も、周りを見渡してみれば、思い当たることが幾つか思い浮かんだりするのではないでしょうか?。

⚖️ 優先される“現場の論理”がルールを崩す

お客様のため」「売上のため」──もっともらしい理由が、セキュリティルールを後回しにさせる構造。現場の“もう一つのルール”が、無意識のうちに優先されてしまっている現実です。

自分が取るべきだと思うアクションに対してセキュリティルールが邪魔になってしまうので、ルールを無視する行動に及ぶ。

心の中では「良くないよなあ」とは思いながらも、他に優先すべきと考える事項があるから、「まあ、しょうがないか」と自身を納得させてしまう。

セキュリティルールが形骸化していくのは、ルールを守ろうとしないのではなく、当人の心の中に”別のルール“が存在し、それがセキュリティルールよりも優先される価値観として存在するがために、結果的にセキュリティルールが破られてしまう。というのが実際のところなのではないでしょうか。

🧠 本当に変えるべきは「価値観の優先順位」

ルール違反の背景には「違うルールが優先されている」という事実があります。
では、どうすればセキュリティルールを守ってもらえるのか?
鍵は“価値観の形成”にあります。

誰もがルールは守ろうとしている。しかし、そのルールよりも優先されるルールがあるから、結果的にルールが守られない。

これが根本原因だとすると、幾ら声高に「ルールは守れ!」と言ったところで、問題は解決しないでしょう。だって、当人からすれば、ルールは守っているのですから。

ただ、守られているそのルールが、セキュリティルールではない。というだけのことです。

では、セキュリティルールを守ってもらうにはどうすればいいか?というと、答えは簡単で、当人の中でセキュリティルールが優先されるよう、組織の中での”価値観の優先順位“を形成していく。ということです。

現場においては、起こるかどうかわからない事故(個人情報流出)よりも、目の前で起きそうな事故(お客様からのクレーム)に目が行き、そちらへの対応を優先させてしまうということが往々にして起こります。

組織にとっては個人情報流出の方が重要かもしれませんが、営業マンにとっては目の前にいるお客様への対応の方が重要です。これが価値観の違いです。

この価値観が各人で違っているのに、ネットに繋がっているパソコンに重要なデータを置くな。と声高に叫んだところで、心に響くはずがありません。

🎯 価値観をデザインするという「細部」へのこだわりを

御社のセキュリティ教育はルールを伝えるだけで終わっていませんか?
なぜそれが必要なのか?”という共通の価値観がなければ、現場は動きません。
ここを設計することが、真に有効なセキュリティ対策、そして、セキュリティ教育の第一歩です。

セキュリティルールを決めて周知徹底を促し、また、同時にセキュリティ教育によって啓蒙活動を行う。

これはどの組織においても実施している事であると思います。しかし、組織の中での”価値観を合わせる“。ということにこだわって全てをデザインしているか?というと、そこまではできていないところは多いのではないかと思います。

何故、そのセキュリティルールがあるのか?また、何故、そのようなセキュリティ教育を行うのか?

ここに統一された価値観がなく、ただ単に、他がやっているから。とか、業者から提供されたものをそのまま使っているだけ。といったことでは、価値観の共有など望むべくもなく、従業員は、「何で、こんなことやらなければならないんだ」とか、「こんなもの意味ないよ」と心の中で思い、結局、自分の中での価値観を優先させることを選択するでしょう。

そして、セキュリティ担当者はセキュリティ教育なんて幾らやっても効果がない。と感じ、やる気をなくして、さらに形ばかりの対応になっていく。こうなってしまってはもう、悪循環です。

🔍 「魂は細部に宿る」とは、目に見えない部分にもこだわること

セキュリティ対策の“細部”とは、設定やソフトだけではなく、人の心の中にある優先順位そのもの
そこを丁寧に整えることこそが、ルールの形骸化を防ぎ、セキュリティの「魂」を守る道ではないでしょうか。

セキュリティルールの形骸化を防ぐには、こうしたことがやはり重要なのだと思います。

投稿者アバター
キットマスター 代表
標的型攻撃メール対応訓練実施キットの開発者・運用者であり、現役の標的型攻撃メール訓練実施担当として、10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示