現場にルールを浸透させるためのテクニック

　以前、あるルールの適用についてのWebテストの受講をお願いしたところ、グループ会社のあるブランチから拒否されたことがありました。恐らく、現場のメンバーにテストを受けさせたくない理由があったのだと思います。このような場合、どういうアプローチが適しているのでしょうか。

　私は「分かりました、ではテストは受けなくて結構です。ただし、こちらからは何も提供しません」と電話を入れ、受話器を置きました。結局、15分後にきちんとテストを受けさせる旨の連絡をいただくことができたのですが、相手が人間である以上何からの駆け引きが必要な場面はあります。これはセキュリティに限った話ではありませんが、正攻法だけで前に進まない場合に備えて、きちんとコミュニケーション上で駆け引きできるスキルは必要です。

　このあたりはマニュアル化できるものではありませんが、私自身はこういった駆け引きを日常的に繰り返しながら、ルールを現場に浸透させるべく奮闘してきたのです。

浸透させるためのトップアプローチ

　最近はさまざまなものが見える化の対象になっていますが、セキュリティに関しても見える化はとても大切です。実際に大きなセキュリティインシデントが社内で発生すると一気に対応が進むのが現実で、悪い言い方をすれば「浸透させるためにはインシデント」という事故待望論がないわけではありません。

　しかし実際にそんなことは起こせません。そこでどうするかというと、「薄いインシデント」をまいて常にインシデントが発生している危機状態を作り出すのです。これがセキュリティにおける見える化です。

　特にエグゼクティブには大きな効果を発揮します。エクゼクティブ会議などで月次、クオーターごと、年次といった単位でインシデントや検査結果レポートを作成し、毎回持ち込むのです。すると、どの事業部が上手なのか、どのベンダーが良いのかがはっきりと成績表となって表れるため、結果の良くない事業部のトップは次回までにセキュリティ強化を現場に指示するようになります。

　小さなインシデントを積み上げていくことで薄いインシデントとなり、それがエグゼクティブの会議の中でみんなの脳の化学反応を起こさせることができます。なお、この薄いインシデントは意識アップの効果が大きいので現場にもきちんと展開しておくべきです。

　そもそも現場にセキュリティを浸透させるためには、PDCAならぬ「EDCA」が必要だというのが筆者の持論です。Plan（計画）ではなくEducation（教育）が必要で、教育を行って検査を実施し、監査をしアクションを起こして修正する。そしてまだ教育に戻っていくという流れが大事だと考えています。

　この現場でも、何かあるたびに教育だといって人を集め、監査だと言って現場を調査してフィット＆ギャップを確認するといった、絶えず薄いインシデントをまき続ける。これが現場にセキュリティ意識を根付かせていく秘訣（ひけつ）なのです。

　教育ツールも大変革を起こしつつあります。これまで一般的に企業ではeラーニング活用は避続けていた気がしますが、非常に革新的なシステムもOSSで出てきおり教育方法も見直す時期にきてると思っています。

セキュリティ施策のスパイラルアップEDCA構造

著者紹介：松尾秀樹

1986年リクルート入社、コンピュータタイムシェアリング事業でスパコンの設置や運用を担当。1993年SI事業へ出向、大手クライアント技術支援。2002年システムセキュリティ担当、Webサービスの施策展開。2014年リクルート退職、セキュアシステムスタイル設立、代表取締役。「企業のセキュリティ担当者を支援するサービス」を提供中。