中小企業でもセキュリティの対策は重要ですが、経営者の皆様は自社のセキュリティを、性善説を前提として取り組まれているのでしょうか?
または自社のセキュリティを、性悪説を前提として取り組まれているのでしょうか?
1.セキュリティの必要性
中小企業の経営者のみなさまは、セキュリティが重要であることは、充分に理解はされているものの、日々の業務に追われてしまってセキュリティへの対応は、実際にはなかなか取り組めていないという経営者の方も多いのではありませんか。
とはいうものの、実際の業務で電子メールを全く利用しない、あるいはインターネットで情報を全く検索しない、または自社のホームページを立てないなど、インターネット環境から全く無縁の状態を保っている企業は本当に少なくなってきているのではないでしょうか。
多かれ少なかれ業務がインターネットに関わっているとすれば、セキュリティに対するリスクを無視できませんので、経営者としては可能な限りセキュリティ対策を施しておくことが望ましいでしょう。
2.セキュリティ方針
中小企業の経営者の皆様がセキュリティを取り組む際に、必要となるものに、セキュリティポリシーまたはセキュリティ方針の策定があります。
経営者か自らセキュリティに取り組むぞという姿勢を示すことが重要ですが、難しいのはその後のセキュリティ対策の検討や運用をどのようにすすめるかということです。
その時に話題になる例として、人は性善説であることを前提としてみるのか、または人は性悪説であることを前提としてみるのかの議論になる場合があります。
この点をはっきりしないまま、進めますと担当する社員の個々の考え方で進めることになります。
実際にセキュリティ事故が発生した時に、これらの点が顕在化してようやく気付くこともありますので、あらかじめ考え方を整理して社内に考え方を統一しておくと良いでしょう。
3.性善説それとも性悪説?
それでは、性善説と性悪説のそれぞれで、セキュリティの対策立案と運用について考えてみます。
性善説のセキュリティ対策
セキュリティの立案は、性善説で検討をした場合、内部犯行や悪意のミスなどはないことになってしまいますので、これらの点が検討から漏れてしまいます。
どう見てもこれは問題です。
セキュリティの運用では、比較的ゆるい運用になりますので、社員の負荷は少なくなるでしょう。
しかし、セキュリティ対策が不十分のため、社員の負荷は、実は報われないことになってしまう可能性もあります。
こちらにも問題はありそうです。
性悪説のセキュリティ対策
セキュリティの対策検討を、性悪説で検討した場合、「魔が刺す」、「興味本位で行う」など通常では起きないようなことも想定して対策を検討します。性悪説でセキュリティ対策を検討した場合、セキュリティは強固になります。
セキュリティの運用では、強固なセキュリティを推進するために通常業務にチェックや追加手順などの負荷が増加します。
社員全員のセキュリティ意識が高ければ不満は出ませんが、意識の低い社員からは不満が出るかもしれません。
セキュリティの負荷が大きいと業務効率の低下を招くことも考えられます。
4.おすすめのセキュリティ対策
セキュリティは性善説で進めると不備が発生し、性悪説で進めると業務効率化や社内環境等に影響がありそうです。
またセキュリティの強化と業務効率の向上はトレードオフの関係になる場合が、ありますのでこれらの点も考慮して、セキュリティの強度を検討していく必要があるでしょう。
これは、私がお勧めする考え方ですが、
セキュリティの対策検討では性悪説で実施し、
運用は性善説で運用する
という方法で行ってはいかがでしょうか。
例えば内部不正に対しては、不正をしにくい状態や見つかる仕組みを加えておくことで、そのような気を起させない工夫ができます。
しっかりした対策を立てた状態で、運用においては、性善説では行うことでぎくしゃくしやすい関係も回避することができます。
また、ITの活用により、自然にセキュリティが守られる環境を整備することもできますし、プロセスや仕組みでセキュリティ強化を図ることで、社員の負荷やリスクを軽減することができます。
またセキュリティに問題が発生したときも、原因は個人に直接的な要因がある場合でも、仕組みの弱さなど、間接的な要因にも踏み込むことができるようになりますので、長期的な対策に有効となります。
最後までお読み頂きましてありがとうございます。今回のコラムが皆様の何かのヒントになれば幸いです。
コラム更新のお知らせをお届けします。ぜひご登録ください。