水際対策を人間に託している事の理解
この1年だけでも日本年金機構、早稲田大学、東京商工会議所、石油連盟などで大きな被害があった「標的型サイバー攻撃」でまた一流企業が被害に遭いました。
普段、取引のある顧客を装っての侵入で何の疑問も持たずにクリックしたのでしょうか?
それとも、似たように顧客を装ってのアクセスにはこれまでにも遭遇していたにもかかわらず「つい開封」したのでしょうか?
「何故?」とも思われ事が多くあるのですが、そこは人間が行う事であり、機械と全く違うものであることを改めて認識する必要があります。
一方、現在の不正アクセスの侵入防止対策は、機械による侵入の防御とその防御を巧妙にかいくぐって侵入したものを人間が見つけて対処する事を基本しています。
いわゆる「水際作戦」を人間に託していることになり、このことを社員一人ひとりに認識させる事と人間一人ひとりの能力だけに頼るのでなくチーム力で防ぐ活動が必要になると考えます。
個人の能力+チーム力
「開封するな!」を対策にするのはやめよう。と言う意見がありますが、上述の様に、まだまだ機械にすべてを任せるまでになっていない以上、人間に頼るしかありません。
そのためには、
(1)精神論だけでなく、「人間はエラーを起こす」を前提とした活動を行う。
(2)社員一人ひとりが情報セキュリティー対策の主役であることを理解させる。
(3)個人の能力とモチベーション向上を図る。
に加え、「チーム力」を高めて行く事が重要です。
チーム力とは一緒に働く仲間の総合力のことで、情報セキュリティー対策だけでなく、すべての業務のパフォーマンス向上に貢献します。
具体的な行動と活動
職場のマネージャーが率先して次のことを進めて下さい。必ず良いチームが出来ます。
1.仲間の体験を共有する
ヒヤリとしたあるいはハッとした体験の共有は、自分自身だけではなく、仲間のエラーを防ぐためにあります。
セキュリティー対策だけでなく、朝礼、夕礼で出来事を話す習慣を作って下さい。
2.なんでも話せる雰囲気づくり
仲間のちょっとした一言やアドバイスがエラーを防ぎ、災害の防止につながります。
「仲間の危ない行動を指摘する」、「仲間からの指摘を素直に受け入れる」職場を作って下さい。
「朝の元気な挨拶」、「みんなで決めたルールを守る」、「ありがとうございました」の感謝の言葉
3.シミュレーション訓練を行う
知識を高める机上の教育に加え、実際に起こる場面を想定した訓練を行う。
現場でのパソコン操作から会社トップへの報告まで、幅広いシチュエーションを行う。
声を出し、体を動かして、実際にできるかの確認を行う。
「訓練で出来ないことは、実際の場面でも出来ない」と言われています。
4.真の原因を究明する
情報漏えい等の事故が発生した際には、開封した社員や関係者を処罰するのではなく、関係者から状況をヒアリングし(「訊く」ではなく「聴く」)、真の原因を科学的に見つけ、再発防止を図ります。
(島本 長範/ヒューマンエラー防止コンサルタント)