情報セキュリティへの理解を深めるために
私は某外資系コンサルティング会社に新卒で入り、約12年働いていました。
ある時(もう15年位前でしょうか?)、お客様への提案書を作っており、ドラフトを作り、上司にレビューをしてもらったのですが、その時上司にこう言われました。
「うーん、内容としては分かるんだけど『しみじみ感』が足りない。」
なぜ、「しみじみ感」?
なぜ、このコラムでこんな話をしているか?
というとコラムのネタをあーだこーだと考えていたところ、
「今の情報セキュリティに足りないのは『しみじみ感』ではないか?」
と、唐突に私の思考に出てきたからなのです。ということで、今回のコラムでは情報セキュリティにおける『しみじみ感』について書いてみようと思います。
とはいえ、まず、この『しみじみ感』と言ったところで、「何それ?」という人もいるかもしれないので、まずは定義が必要です。
「しみじみ」という言葉を辞書(デジタル大辞泉)で調べると、
- 心の底から深く感じるさま。「世代の違いをしみじみと感じる」
- 心を開いて対象と向き合うさま。「友としみじみと語り合う」
- じっと見るさま。「しみじみと自分の顔を眺める」
とありました。この中でいうと『しみじみ感』は1の意味で使われていると思われます。
そのため、『しみじみ感』の意味としては
「心の底から深く感じることが出来そうな感じ」
というあたりでしょうか?
違う言い方をすると
「心の底から納得できる」
「頭で分かるだけでなく、心のそこから賛成できる」
「ものすごく身近に感じる」
というと、『しみじみ感』を『しみじみ感』付きの説明になっているでしょうか?
『しみじみ感』はなんのため?
さて、外資系コンサルティング会社時代の上司はなぜ「『しみじみ感』が足りない」といったのでしょう。
当時の私は、それを感覚的に受け入れてしまったので、理由を明確には聞いたわけではないですが、お客様向けの提案書であり、その案件をとるためには、当時の上司は提案書に『しみじみ感』が必要と考えたのでしょう。
なぜ『しみじみ感』が提案をとるために必要なのか?それは提案を受けるお客様が提案内容に納得する、賛同する。しかも、他社の提案書と比較されるため、「うん、ここに頼みたい」と思わせるために、必要だったのです。
ということで、今現在の情報セキュリティの現状を考えると、
- 情報セキュリティの関係者が、情報セキュリティの重要性をいろいろ言っている。
- 一般企業の経営者レベルでも、情報セキュリティは重要だとは言っている。
- 情報セキュリティ人材不足が叫ばれている。
- とはいいつつ、情報セキュリティは「良く分からないモノ」として扱われる。
- 情報セキュリティを重要視している、とはいいつつ、事故は減らない。
という感じで、情報セキュリティ(サイバーセキュリティ)に関していうと、昔に比べればマシにはなったかもしれませんが、10年前とそこまで大きくは変わっていないかなぁ、という印象なのです。
もちろん、情報セキュリティに積極的に取り組んでいる一般企業もいます。ただ、それは資金に大きな余裕のある大企業が多く、ITが事業の中核である意識が高い企業だったり、そうでなければ、法令等の規制でやらなければいけない企業や、過去に大きな事故を起こした企業にとどまっているのでは?という感じがあります。
これらの企業にとっては、情報セキュリティ事故は、
- 情報セキュリティ事故→システムが使えない→業務が止まる→一日○億円!
- 情報セキュリティの法令順守違反→監督官庁に見つかる→営業停止等の罰則!
- 情報セキュリティ事故→過去の事故でめちゃくちゃ苦労した!
ということを、情報セキュリティ担当者以外の現場の担当者、管理職、役員といった層が情報セキュリティの重要性を頭ではなく、それこそ「しみじみと」感じている組織が多い気がします。つまり、情報セキュリティを進めていくには情報セキュリティの専門家以外の人が「しみじみ」と理解してもらうことが必要であると思うのです。
「しみじみ感」はどこから来るのか?
情報セキュリティの世界でも、いろいろなキャンペーンをしています。
政府は2/1~3/18を「サイバーセキュリティ月間」としていたり、有名アニメをキャンペーンキャラクターに使ったり、いろいろやってます。ただ、その内容が情報セキュリティ担当者やセキュリティ専門家への「しみじみ感」ではなく、それ以外の人に対する「しみじみ感」を持たせているのか?については微妙なのではないかと思います。
「しみじみ感」はそれを受けとる側の体験や置かれた立場・境遇に沿っていたときに与えることが可能なのだと思うのです。したがって、受けとる側の事情を知らずに、相手に情報セキュリティの重要性等を訴えても、頭では解ってもらえるかもしれませんが、相手が「しみじみと納得」してもらえるかは、ギャンブルでしかありません。
情報セキュリティ教育もそうですが、教えた内容を日常的な行動に移してもらうには、教育を受ける側の立場を考慮した内容・伝え方をする必要があるのです。そうしていかないと、専門家以外には共感を得られず、その他からは「独りよがり」のメッセージを発することになってしまうと思うのです。そうなると、経営陣や情報セキュリティ部門以外との良い関係も築くことができないと思うのです。
ん?
さて、そう考えると、前々回の「脆弱性」という言葉は取っつきにくいとか、前回のセキュリティ業界の職業病というのとも繋がってきたりするのかなぁ。
株式会社GRCS
セキュリティ・エグゼクティブ・ディレクター
中島浩光