セキュリティって、疲れるなぁ ……
外資系転職や海外転職、ビジネス英語などグローバルキャリアに役立つ情報が満載！<グローバル転職NAVI>

【緊急連絡】　社員のみなさんは、来週末までに以下の E ラーニング講習を受講し、修了テストにパスしてください。

・ セキュリティコース基本編 Ver.3 （標準時間 3 時間）

最近、みなさんの会社でも情報セキュリティに対する関心が高まっていると思います。新聞の紙面でも「顧客情報○万件流出 !」なんていうニュースが頻繁に掲載されています。当然のことながら、情報漏えい事件を起こした企業の社会的信頼は失墜し、取引が減り、株価が下がり、ついには倒産の憂き目に……なんてことも、現実の話として起こっています。 
　 
わが社は外資系企業ということもあり、情報セキュリティに関しては、社員への教育も含め、以前から積極的に取り組んできました。それなのに、またトレーニングとはどういうことなのでしょうか ?

「……噂によると、だれかが顧客名の入った資料をプリンターに出しっぱなしにしていたらしいよ。それを社長が見たらしくてさ……」

な、なんてこったい……わが社のセキュリティ規定では、顧客情報の入った資料等をプリンターに放置すると、部門長あてに始末書を提出した上、ボーナスの評点が下がることになっています。ですので、原則プリントアウトはしない、やむをえず出力する場合は、プリントアウト［OK］のボタンを押すと同時にプリンターにダッシュし、印刷されてくるのを待っていなければなりません。まるで「筋肉番付」のショットガン・タッチです（たとえが渋い……）。オフィスでは 5 分に一回ぐらいの割合で、プリンターに駆け込んでいくスタッフの姿を目にすることができます。タッタッタッ……こりゃ、疲れるなぁ……

で、今回のケースなんですが、おそらくだれかがプリンターに出しっぱなしにしていた資料を、たまたま社長が発見したのでしょう。それが社長の逆鱗にふれ、「全員、トレーニングのやり直しじゃーー !」となったわけです。その証拠に、今回のトレーニングは「基本編 Ver.3」となっていますが、ほんの 3 ヶ月前に「Ver.2」をやったばかり。つまり、「Ver.1」からほとんど内容を変えないまま、何か問題があるたびごとに、社員全員に同じ研修を受けさせているわけです。なかなか徹底できない社員の方にも問題はありますが、社長の執念にも頭が下がります。ま、それぐらい重要なことなことなのでしょうがね。

毎回同じ内容なら、E ラーニングの研修自体はスラスラできそうに思いますが、実はそうでもありません。最後の「修了テスト」が超難関なのです。毎回内容が違うのはもちろんのこと、徐々に出題する問題のネタがなくなってきたこともあり、どんどん内容がニッチになってきているのです。まるで、難関私大の日本史の入試問題みたいなもの。「そんなもん、教科書の欄外のコラムの端の方にしかにしか出とらんやろーがー !」という内容が出題されるため、結局のところ、該当部分を探すためにテキストを何度も読み返さねばなりません。そのおかげも（?）もあり、セキュリティに関して非常に詳しくなってきたのは確かですが。さすが外資系、E ラーニングの有効な使い方を知っていますな（No.57「e ラーニングの効果」参照）。でも、何度も研修を受けるのは、ちょっと疲れるなぁ……

「第 2 章　オフィスにおけるセキュリティ（その 1 ）オフィスエリアへの入館時には、テールゲートに注意すること !」　テールゲート ? なんじゃ、そりゃ。みなさんのオフィスでも、入り口でセキュリティカードを通さないとドアが開かない仕組みが導入されているのではないでしょうか。テールゲートというのは、カードを通した人のうしろにくっついて、自分はカードを通さずに中に入る行為のことを指します。テールゲートを禁止することで、部外者がオフィスに入ることを防止しなさいということです。

確かに、言いたいことはわかります。でも、両手がふさがっているときなどに、前の人にくっついて中に入るぐらいのことはするでしょう。また、大勢のお客様が見えたときなど、いちいち全員にカードを通してもらってから中にお通しするのは、規則とはいえイマイチな感じがします。セキュリティカードを首からぶらさげていて、社員または関係者であることが明らかならば、あまり堅苦しく考えなくてもいいのではないでしょうか。全員がカードを通したか否かということよりも、各社員がテールゲートされないような行動が取れるかどうか、怪しい人物がオフィスに入ろうとしているのを防ぐことができるかどうかの方が重要なのですから。

私のこのような考え方は、日系企業のセキュリティに対する考え方に近いと思います。規則は規則として存在する一方で、運用の方は臨機応変にやろうじゃないですか、みんないい大人なんですから……そんな感じです。一方で、外資系企業の考え方は、「規則通りに運用する、例外は認めない」ということになります。同僚であろうがお客様であろうが、オフィスに入る人全員がカードを通さなければならないわけです。さて、日系と外資系 2 つの考え方、どちらが優れているのでしょうか。

結論から言うと、セキュリティ管理に関しては、すべてを規則通りに行う外資系の方に軍配が上がっていると思います。ここ 1 年ほどの間に頻発した情報漏えい事件のほとんどは、日系企業の管理の甘さから来ています。上司の目を盗んで顧客情報を CD-ROM に落とすことぐらいなら、外資系企業でもできるでしょう。しかし、外資の場合は、そういう行動はすべてシステム上のログに記録されており、だれが何をやったかすぐにばれます。また、社員のセキュリティ違反を監視するためだけの要員を配置おり、事件を未然に防ぐ役割を果たしているのです。

日系企業の間接部門には、非常に多くのスタッフが配置されていますが、セキュリティ専任の要員はいないのではないでしょうか。その理由は、日本企業の管理の考え方が「性善説」をもとにしているからです。ですから、日本では伝統的に、人を監視したり、人を疑うようなシステムを作るのが極めて下手です。最近は、CSO（Chief Security Officer：セキュリティ統括責任者）なんていう役割を導入する企業が増えていますが、形だけをマネしても意味はありません。日系企業にとってやるべきことは、「外資系企業が設計したセキュリティの考え方・ルールを、そっくりそのまま自社に導入すること」だと思います。セキュリティの世界に、「ま、臨機応変に、適当に……」という考え方は通用しません。相手は生身の人間ばかりではなく、クリック 1 つで増殖を繰り返していく電子データであるケースの方が多いわけですから、針の隙間もないぐらい厳格に運用しなければ万全とはいえないのです。

日系企業が手本とすべきセキュリティ体系として、「BS7799/ISMS」（BS7799 とは、英国セキュリティ協会：BSI が定めたセキュリティ審査規格のこと。ISMS：Information Security Management System とは、BS7799 をベースに体系化されたセキュリティ認定制度のこと）というのがあります。詳細を説明すると長くなるのですが、要はセキュリティ管理のガイドラインが体系化されたものだと思ってください。このガイドラインを満たすようにセキュリティ管理制度を設計した後、外部の第 3 者機関からの認定が得られれば、「ISMS 認証」というのがもらえます。

ISMS ではシステム的な仕掛け（IT や設備に関するもの）以上に、「人間系」の管理を重視しています。人間系とは、社員（= 人間の手）によるセキュリティ違反のことを指しており、そのポイントは「性悪説」に基づいた管理をすべし、ということを言っています。人間は悪いことをするという前提で、制度を作りなさいよということです。

ISMS 認証を持っていれば、自社のセキュリティ管理が一定基準を満たしている証明になります。現在、ISMS 認証を取得している日本企業はまだまだ少ないのですが、ここ数年のうちには、ほとんどの企業において取得が進んでいくと思われます。そうなれば、日系企業における「大甘」のセキュリティ管理は一掃され、外資系並みの厳格な管理になるはずです。いつも部下にお願いして、自分ではカードを通したことのない部長さんも、もうテールゲートはできなくなるわけです。

「……テールゲートに、ISMS か……ふぅ……やっと終わった。修了テストも合格したし、結果を人事部の DB に送っておくか……それにしても、疲れるなぁ……」

今日は研修受講の最終日です。E ラーニングを終えた私は、自宅から社内のシステム環境に接続しようとしていました。何とか期限内に送れそうです。

「あれ ?」　いつもと違って、社内環境に接続できません。すると、以下のメッセージ。

Your Password is expired. Enter New Password.（パスワードの期限切れ。新しいパスワードを入力してください）

「パスワードの期限切れか……えーーっと、確かパスワードはアルファベットと数字を混ぜて、数字はアルファベットではさむんだったよな。前のパスワードが TA1KASHI だったから、TA2KASHI にするかねっと……」

New Password invalid.（そのパスワードは認められていません） 
「……あ、そうだ。旧パスワードと同じような文字の構成だと認めてくれないんだっけ……じゃ、TAKA2SHI っと」

New Password invalid. 
「……じゃ、TA2KA3SHI……」

New Password invalid. 
「……うう、ぬぅ……SHI2TA3KA って、これでどうだ !まったく原型をとどめとらんが……」

You cannot try to enter Password more than 4 times. Please call your helpdesk（間違ったパスワードを 4 回以上使用した場合は、ヘルプデスクに連絡してください）

……にゃ、にゃんですとぉ ? パスワード更新失敗 ? がーーーーーーーーーーーーーん !!

そもそも、パスワード更新時のルールが複雑すぎて、全然わからんやないですかぁ……セキュリティを厳しくするのはわかりますが、セキュリティって、ホントに疲れるなぁ……トホホ……