パソコンは無くすもの 間違った研修をしてませんか

Sorry, this entry is only available in Japanese. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

パソコンがウィルスに感染した従業員に始末書を提出させたり、強く叱責したりしていませんか。しかし、その対応は逆効果です。今回、マネジメント層、特に経営層に強くいいたいのは、「人間だから間違える」「携帯電話は落とすもの」という事実です。「間違えても大丈夫」なセキュリティーを前提にした環境を整えることが基本です。

 私は、2012年、国会に設置された東京電力福島原子力発電所事故調査委員会(NAIIC)のITインフラ設備を担当することになりました。この仕事は、私がサイバーセキュリティーとは何か、リスクを適切に管理するシステムとはどのようなものか考える機会となりました。

 数十台のパソコンや携帯電話を準備しました。しかし、関係者のインターネットリテラシーにはばらつきがあり、「インターネットやメール、ワードは使ったことがある」程度の人もいました。私は、「配布した情報機器のいくらかは、期間中に紛失・破損するだろう」と予想しました。

 そのため、配布した情報機器はすべて安全性を重視した設計にしたのです。電子メールを外部に送っても、自動的に暗号化される。二層、三層、四層のフィルター構造でセキュリティーを構築し、最初の層が突破されても、すべての層を突破する間に最初の層で正常な機能を取り戻せるネットワークも作りました。万一、パソコンやスマートフォンを盗んで、ハードディスクを無理にはずし、中のデータを読み取ろうとする人がいても、暗号をかけて読み込めないようにしました。

 結果はどうだったか。調査期間中、やはり用意した情報機器の紛失・破損がありました。調査関係者が怠惰だったわけでも、悪意があったわけでもありません。

■叱責や始末書は逆効果

 私は、紛失の報告を受けても「問題ない、代わりの機器を用意するから」と伝えました。もしここで、ミスを犯した人に始末書などを書かせ、厳重に叱責するなどの厳しい処置を取ったらどうなるか。それを見ている人たちは、自分が失敗したらどうするか。「携帯電話をなくしたら、まず自分で探して見つかってから報告しよう」「変なメールを開いたことは黙っていよう」。そういった心理が働くはずです。

 報告せず、電話を自分で探す――。このロスタイムがサイバー攻撃では命取りになる可能性があります。幸いなことに、限られた時間で設計したにもかかわらず、資料が外部にもれることもなく、サイバー攻撃で業務が滞ることもありませんでした。何より、厳しいスケジュールにもかかわらず、発足から半年で、調査の報告書を発表することができたのです。

 トラブルが発生すると「なぜ早くいってくれなかったのか」と悩む経営層の声も聞きます。しかし、「すぐに報告する空気づくり」はできているでしょうか。ウィルスに感染したことを報告した社員がいたら、まず「報告したことを評価」する。この、コミュニケーションを取れるかどうかが惨事を防ぐ肝です。管理責任を問うスタイルの「セキュリティー研修」は逆効果です。また、「研修」としてわざと添付ファイルつきのメールを社員に送り、「この添付ファイルを開いたら危機意識が薄い」と警告するやり方も、やりすぎはリスクです。「怖いからメールを開かないようにしよう」という心理が働き、本来の業務ができなくなります。

■対策は、ミスを前提にした「レジリエンス」

 この心理は、非常に根深いものです。サイバーセキュリティーから少し視点が変わりますが、福島第1原発事故、スリーマイル島の事故など、さまざまな惨事において、現場のエンジニアは上司に異常の発生を警告していました。しかし上司は「完璧な状態」が「維持されていてほしい」と願望して、現場の警告を却下していたのです。

 ひどいことだ、と思われるかもしれません。しかし、災害心理学の研究では、危機の緊急性や危機が発生する可能性を認知したくないという心の働き「正常性バイアス」は誰にも起きうると考えられています。たとえば、2001年9月11日、米国の世界貿易センターに航空機が衝突したテロ事件では、ビル内にいた人の多くが、やりかけの仕事を終えるためにコンピューターをシャットダウンしたり、洗面所に行こうとしたりするなど、危機の程度を把握しきれていなかった現実が知られています。

 サイバーセキュリティーに話を戻すと、人間は、トラブルが発生したとき、常に正しい行動が取れる生き物ではありません。さらには、家の鍵をかけるのを忘れ、スマートフォンを終電に落とし、電子メールの悪質なリンクをうっかりクリックする生き物です。セキュリティーは不完全な人間が失敗をしてしまう前提で、それでも防御力を再生できる「レジリエンス(免疫力)」を備えるように設計する。これは、経営層の責任なのです。

日本経済新聞で掲載されました

Posted by whsaito

Leave a Reply

Your email address will not be published. Required fields are marked *

 

Do NOT follow this link or you will be banned from the site!