2021.12.15
情報セキュリティは人の問題?漏えい事故の根本にある「社員の意識」を変えるには?
目次
コロナ禍で、企業のDX推進・デジタル化への取り組みは大きく前進しました。従業員のみならずサプライチェーンに携わるほぼすべての人々が、デジタルツールを介して何らかの形で情報流通にかかわるようになってきています。そのような状況においてDX推進のポイントとなるのは「人」である、という事実は、情報部門のご担当者なら十分認識されていることでしょう。
情報は有効に使えば大きな価値を生み出すものですが、一方で、セキュリティの重要性を理解して慎重に扱わなければ、リスクをもたらす要因にもなります。その要は、情報を取り扱う「人」にあるのです。
しかし、情報セキュリティにおけるポイントが「人」であると分かってはいても、実際に組織と従業員の意識を変えていくのはなかなか困難です。それは単に一般的なセキュリティ教育や研修だけで解決できる問題ではありません。DXの導入を好機とし、まず自社や組織内にどのような情報資産が存在するのかを把握すると共に、そこに潜む情報セキュリティ上のリスクの識別や分析を戦略的に行う「情報リスクアセスメント」の取り組みが必要です。
この記事では、会社の中の「人」の体験に着目して数多くの企業の組織変革をサポートしてきたソフィアならではの視点で、情報リスクアセスメントにおける重要かつ必要なポイントをご紹介していきます。ぜひ参考にして、実効性のある情報リスク対策にお役立てください。
一般的な情報リスクアセスメントに不足している視点とは?
企業のリスク管理において重要な「組織のリスクマネジメントプロセス」の基本要素の1つに、「情報リスクアセスメント」があります。情報リスクアセスメントとは
- 1. 自社が持つ、あるいは管理するさまざまなレベルの情報を資産と捉え
- 2. それら情報そのもの、および紙や電子メディアなどの記録媒体を扱う状況下において自社や関係社会にどのようなリスクが存在するのかを評価し
- 3. それぞれのリスクの重要度や対応策などをあらかじめ想定しておく
という一連のプロセスを指します。
情報リスクアセスメントは一般に、
- 意思決定者に対して情報リスク管理に役立つ情報を提供する
- リスクの重要度や対応策を明確化することによってリスク対応を支援する
ことを目的として実施されます。しかし近年、企業における急速なデジタル化推進により、デジタルツールに不慣れなまま業務で使用しなければならない状況の社員が増え、さらにインターネットに接続される機器・アプリケーションも多様化したことなどから、これまで想定しなかったようなヒューマンエラーや機器障害の脅威も増加しています。このような状況に対応するために、情報リスクアセスメントの緊急性と重要性が増しているわけですが、一方で、情報リスクに介在する「人」や部署の数も増えて多様化し、実効性のあるアセスメントの実施が困難な時代が到来しています。
同じ企業で働く従業員とはいえ、情報への感度や、セキュリティに対する意識・行動は一人ひとり異なり、それぞれの意識や行動には「人の感情」や「組織の文化・風土」が影響しています。しかし、一般的な情報リスクアセスメントの枠組みでは、この部分が抜けているのです。
インターナルコミュニケーション支援を専門に行う私たちソフィアが、お客様企業から情報リスク対策に関する相談をいただくのは、組織ではたらく「人」の感情や行動、組織の文化・風土を専門としているからこそ、気付けるポイントがあるからなのです。
重大なインシデントを引き起こす要因は「人」
NPO法人日本ネットワークセキュリティ協会(JNSA)の数年にわたる調査報告書によると、「紛失・置き忘れ」「誤操作」という人的過失から起こる事案は、常に全体の5割前後という大きな比率で発生しています。それに加え、2014年以降は不正アクセスに起因する情報漏えいが増加の傾向にあります。このように、情報セキュリティ事故が主に人的要因で起こっているという事実は、皆さんもご経験から思い当たる節があるのではないでしょうか。
「情報の外部持ち出し禁止」「情報の公開時には複数人でチェック」「素性のはっきりしないメールやサイトへのアクセス禁止」などのルールやシステムを強化しても、こうした事件・事故が後をたたないのは、ルールやシステムを運用する人の感情や組織の風土・文化を視野に入れた対策ができていないからだ、とソフィアは考えています。
いくらルールを作って教育をしたとしても、それが機能するとは限りません。例えば、工場や工事の現場ではチェック表の記入や専門の係員を置くなどで何重もの安全対策を行っていますが、事故が発生することがあります。そして、事故の背景には「このくらいは大丈夫だろう」という担当者の個人的な判断や、現場の状況を知らずに無茶な指示をしてくる上位職や会社、といった要因がしばしば存在します。
工場の安全対策と同様に、情報リスクアセスメントにおいても、社員が情報セキュリティに対して日常どのような意識を持ち、どのような行動をしているのかを知ることがまず必要です。そして、人的リスクがどこに潜むのか、何が情報セキュリティ意識・行動浸透の阻害要因になっているのかを明確にし、そこから課題を抽出したうえで対策をしなければ有効な対策とはならないのです。
有効な情報セキュリティ対策につなげるアセスメントのあり方とは?——「CAPD」で合意形成を図ろう
そこで、十分実効性のある情報セキュリティ対策を行うためには、保有している情報資産やルール、ポリシーに対するアセスメントを実施すると同時に、従業員の情報セキュリティ意識に対する調査を行い、「コミュニケーションや組織風土上のリスクを把握する」ことが必要になります。
プロジェクト管理や業務における品質や生産管理の改善手法の1つとして「PDCA」という言葉を耳にされたことがあるかと思いますが、ここではサイクルの順序を変えた「CAPD」のフレームでプロセスを組み立てていきます。
― PDCA ―
P=Plan(計画):目標や計画を立案する
D=Do(実行):計画に基づき業務を実行する
C=Check(評価・分析):計画と実績を比較・分析する
A=Act(改善):現状把握・計測をもとに改善内容を立案する
― CAPD ―
C=Check(現状把握・計測):現状の問題点などを把握・計測する
A=Act(改善):現状把握・計測をもとに改善内容を立案する
P=Plan(計画):改善案をもとに具体的な施策を計画する
D=Do(実行):計画に基づき業務を実行する
PDCAサイクルでは最初にPlanがあり、その計画に基づいて進捗と状況把握を行うことで評価・改善と進んでいきます。一方、CAPDサイクルはまず現状把握から始めて問題点や課題を浮き彫りにし、それを基に改善の方向と具体策を立てることで実行につなげます。最初に現状を計測して理解することで、取り組みの目的や、やるべきことが明確になり、具体的なプランにまで落とし込みやすくなります。また、実行段階においても当初のデータがあるため、進捗の度合いや効果を比較しやすく、軌道修正も可能です。その意味で最後のDoから再度Checkに戻り、理想的に回り始めたサイクルはPDCAと同じ形をとります。
情報セキュリティに関するアンケートやヒアリングを実施する
CAPDのスタート地点として、情報セキュリティに関する調査を行います。この工程における第1の目的は、全社員および各部門の業務と知識、そして情報セキュリティに対する意識と心理を可視化することです。
問題が発生する背景には、多くの場合、当事者が「自分ごと」として納得しないままにシステムやルールだけが規定されていく状況があります。ソフィアでは「心が動けば、体が動く」という考えに基づいて、現場の状況を十分に把握し、すべての関係者がセキュリティの問題を「自分ごと」として腹落ちできるような「現状の可視化」を大切にしています。
調査の手法には社員アンケートや役員へのヒアリング、中堅層のグループインタビューなどがあり、それぞれの企業に合った方法を採用します。いずれの方法を用いた場合にも、具体的な施策を展開する前の段階から、情報を扱う当事者(現場)を巻き込んでいくことで情報セキュリティ対策に取り組む意義を社内に浸透させ、その目的や重要性の理解を促すことができます。またルールやシステムを作る会社側に対して、「自分たちの意見を汲んでもらえない」「余計な仕事を増やされる」などの不安や不信感を持つ層に対しては、その誤解を解くことができ、協力を促す意味も持つものです。
なお、アンケートやヒアリングなど調査の対象範囲は、正社員だけでなく必ず派遣社員やアルバイト、業務委託先など「情報セキュリティリスクにかかわるすべての従業者」とする必要があります。情報はいまやサプライチェーン上でシームレスに流通するため、社内だけで管理を徹底しても、関連する流れの一部から情報が流出する危険が残ります。セキュリティリスクは徹底的に洗い出し、課題と優先順位を明確にしてください。
アンケートやヒアリングの結果に基づいて施策を講じる
調査・把握のプロセスによって現状の評価が完了したら、明確化された課題と優先順位に応じて、どのように社内に変化を起こすべきか、施策を検討します。
ここで重要なのは、単なる情報セキュリティ上の課題解決策としてではなく、これまで目に見えてこなかった従業員の心理や意識といった部分をテーブルに乗せ、「サプライチェーンを含めた社内意識変革活動」として情報リスクアセスメントを行うという視点です。
情報セキュリティ事件・事故が発生するのは、課題設定や施策がなかったからではありません。多くの場合は、外部監査対策として表層的なルールを整備するのみの施策にとどまり、従業員が納得感を持って情報セキュリティを「自分ごと」と捉えられるような意識変革につながっていないことが問題なのです。
「リスクが高まっているから注意せよ」と危機感を煽り、年に1度Eラーニングで研修を行っても成果は期待できず、効果も持続しません。まずは経営陣とマネジャー層が対策の必要性について十分理解・腹落ちし、納得感をもって現場の意識・行動改革に取り組んでいくことが情報リスクアセスメント成功の秘訣と言えるでしょう。
「腹落ち」の重要性とポイント、情報セキュリティ研修についてはこちらの記事をご覧ください。
まとめ
情報技術の進展やデバイスの多様化により、情報の流通網は日々拡大の一途をたどっており、情報セキュリティ対策の重要性は今後ますます強まっていくと考えられます。何の気なしにスマートフォンやタブレットをいつでもどこでも操作する社会にあっては、社員一人ひとりが情報を扱う際の危険性を十分認識している場合とそうでない場合とで、会社全体の情報セキュリティリスクが天と地ほども違ってきます。
CAPDサイクルに基づいて「人」を常に起点として考える情報リスクアセスメントを前提としなければ、情報セキュリティが成立しない時代と言っても過言ではありません。そして、情報リスクアセスメントを委託する際は、仕組みだけではなく目に見えない「社員の感情」や「組織文化」までを対象にし、そこから抽出された問題に対して具体的な施策の立案や実行まで相談できるベンダーを選ぶことがおすすめです。私たちソフィアは、人と組織を熟知した組織変革のプロフェッショナルとして、皆様の良き伴走者でありたいと考えています。
もっと具体的に知りたい、困りごとがあるという方は、どうぞお気軽にお問合せください。
>お問い合わせはこちら
よくある質問
- 情報漏えい事故の原因は何ですか?
ルールやシステムを運用する人の感情や組織の風土・文化を視野に入れた対策ができていないからです。従業員が情報セキュリティに対してどのような意識を持ち、どのような行動をしているのかを知ることが必要です。そして、人的リスクがどこに潜むのか、を明確にし課題を抽出したうえで対策をしなければなりません。
- 情報リスクアセスメントに不足している視点とは何ですか?
同じ企業で働く従業員とはいえ、情報への感度や、セキュリティに対する意識・行動は一人ひとり異なり、それぞれの意識や行動には「人の感情」や「組織の文化・風土」が影響しています。しかし、一般的な情報リスクアセスメントの枠組みでは、この部分が抜けているのです。
株式会社ソフィア
取締役、シニア コミュニケーションコンサルタント
築地 健
インターナルコミュニケーションの現状把握から戦略策定、ツール導入支援まで幅広く担当しています。昨今では、DX推進のためのチェンジマネジメント支援も行っています。国際団体IABC日本支部の代表を務めています。
株式会社ソフィア
取締役、シニア コミュニケーションコンサルタント
築地 健
インターナルコミュニケーションの現状把握から戦略策定、ツール導入支援まで幅広く担当しています。昨今では、DX推進のためのチェンジマネジメント支援も行っています。国際団体IABC日本支部の代表を務めています。
