【第5回】現場にルールを浸透させるためのテクニック

IT・IT製品TOP > Key Conductors > 松尾 秀樹(株式会社セキュアシステムスタイル) > 【第5回】現場にルールを浸透させるためのテクニック
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

【第5回】現場にルールを浸透させるためのテクニック

2015/08/25

 前回は、セキュリティポリシーも含めたルール作りについて紹介しました。そのルールを全社に浸透させていく方法についても、ある程度のコツやノウハウが必要になってきます。

受け入れてもらいやすい環境を作る

 グループ会社や現場の事業部にガバナンスを効かせるためにも、ルールはしっかり周知徹底しておくことが重要です。ただ、一方的にルールを押しつけては現場からの反発を招くことにもなりかねません。特にグループ会社の場合は企業文化そのものから異なっているため、既存のルールを大きく変更することはできる限り避けたいと考えるはずです。

 実際に効果があった方法は、現場に対してメリットを提供できる環境をあらかじめ作っておくことでした。具体的には、ルールを現場がそのまま適用するならば、資料やツール、窓口など必要な道具を全て提供し、セキュリティ担当を置くことなくセキュアな環境が維持できるといったメリットのあるアプローチをとるのです。

 ただ、グループ会社の場合は完璧にルールを踏襲するわけにはいかないこともありますので、限定的なチューニングは許可したうえでルールの適用を打診してみることが大切です。

駆け引きは日常と同じ 卑屈にならない

 以前、あるルールの適用についてのWebテストの受講をお願いしたところ、とあるグループ会社のあるブランチから拒否されたことがありました。恐らく、現場のメンバーにテストを受けさせたくない理由があったのだと思います。このような場合、どういうアプローチが適しているのでしょうか。

 私は「わかりました、ではテストは受けなくて結構です。ただし、こちらからは何も提供しません」と電話を入れ、受話器を置きました。結局、15分後にきちんとテストを受けさせる旨の連絡をいただくことができたのですが、相手が人間である以上何からの駆け引きが必要な場面はあります。これはセキュリティに限った話ではありませんが、正攻法だけで前に進まない場合に備えて、きちんとコミュニケーション上で駆け引きできるスキルは必要です。

 このあたりはマニュアル化できるものではありませんが、私自身はこういった駆け引きを日常的に繰り返しながら、ルールを現場に浸透させるべく奮闘してきたのです。

浸透させるためのトップアプローチ

 最近はさまざまなものが見える化の対象になっていますが、セキュリティに関しても見える化はとても大切です。実際に大きなセキュリティインシデントが社内で発生すると一気に対応が進むのが現実で、悪い言い方をすれば“浸透させるためにはインシデント”という事故待望論がないわけではありません。

 しかし実際にそんなことは起こせません。そこでどうするかというと、“薄いインシデント”をまいて常にインシデントが発生している危機状態を作り出すのです。これがセキュリティにおける見える化です。

 特にエグゼクティブには大きな効果を発揮します。エクゼクティブ会議などで月次、クオーターごと、年次といった単位でインシデントや検査結果レポートを作成し、毎回持ち込むのです。すると、どの事業部が上手なのか、どのベンダが良いのかがはっきりと成績表となってあらわれてくるため、結果の良くない事業部のトップは次回までにセキュリティ強化を現場に指示するようになります。

 小さなインシデントを積み上げていくことで “薄いインシデント”となり、それがエグゼクティブの会議の中でみんなの脳の化学反応を起こさせることができます。なお、この“薄いインシデント”は意識アップの効果が大きいので現場にもきちんと展開しておくべきです。

 そもそも現場にセキュリティを浸透させるためには、PDCAならぬ“EDCA”が必要だというのが私の持論です。Plan(計画)ではなくEducation(教育)が必要で、教育を行って検査を実施し、監査をしアクションを起こして修正する。そしてまだ教育に戻っていくという流れが大事だと考えています。

 この現場でも、何かあるたびに教育だといって人を集め、監査だと言って現場を調査してフィット&ギャップを確認するといった、絶えず“薄いインシデント”をまき続ける。これが現場にセキュリティ意識を根付かせていく秘訣なのです。さらに教育ツールも大変革を起こしつつあります。これまで一般的に企業ではeラーニング活用は避続けていた気がしますが、非常に革新的なシステムもOSSで出てきおり教育方法も見直す時期にきてると思っています。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図:セキュリティ施策のスパイラルアップEDCA構造

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008143


IT・IT製品TOP > Key Conductors > 松尾 秀樹(株式会社セキュアシステムスタイル) > 【第5回】現場にルールを浸透させるためのテクニック

このページの先頭へ

キーマンズネットとは
86年リクルート入社、コンピュータタイムシェアリング事業でスパコンの設置/運用。93年SI事業へ出向、大手クライアント技術支援。2002年システムセキュリティ担当、Webサービスの施策展開。2014年リクルート退職、株式会社セキュアシステムスタイル設立、代表取締役。「企業のセキュリティ担当者を支援するサービス」開発・提供中。

ページトップへ