見出し画像
Photo by kajimotojiro

セキュリティアウェアネスと懲罰規則の功罪

Iz_yan

懲罰規則の有効性と限界

大抵の職場には懲罰規則があると思います。
一般論ですが、行動規範やセキュリティーに関する規則に懲罰規則を設定したり、懲戒規程と「紐付ける」ことが多いかなと思います。それは有効なのかという問いを立ててみると、一概に「有効」「無効」とは言えない面もあるなと思います。様々な側面から検討する必要があります。
「注意書きにない」ことはやっても罰せられないと解釈する。または、意図せず「注意書きにない」ことをやってしまうことにならないかということです。
その逆として「褒賞する」ことがどうなのかについては、今後の記事でインセンティブとモラルの関係で考察してみたいと思います。

懲罰規則が有効に機能する場合

  • 抑止効果: 懲罰を恐れることで、従業員がセキュリティに関する規則を遵守するようになる可能性があります。故意・不作為による情報漏洩などの重大なインシデントについて、懲罰(見せしめ)によって抑止を図るのは必要なことです。

  • 責任意識の向上: 懲罰規定は責任の重さを明文化したものですから、従業員にセキュリティに対する責任意識を促す効果が期待できると思います。

  • 組織全体の意識改革: 懲罰規定を設けることで、組織全体でセキュリティの重要性が認識され、意識改革が進む可能性があります。ただし、研修など教育・学習機会が保障されていればの話です。

懲罰規則が必ずしも有効でない場合

  • 逆効果の可能性: 過度な懲罰は、従業員を萎縮させ、積極的にセキュリティに関する問題を報告することをためらわせる可能性があります。隠蔽の多くは懲罰またはそれに準ずる扱いを受けることを回避したいということが動機になっていると思います。

  • 風通しの悪化: 懲罰を恐れて、従業員がミスを隠蔽したり、問題を報告しにくくなったりする可能性があります。懲罰規則は組織全体を「縛る」ものですので、組織風土に影響がある可能性があります。

  • 本質的な解決策ではない: 懲罰規則はあくまで事後的な対応であり、根本的なセキュリティ意識の向上にはつながりません。してはいけないことをしないということに留まる可能性があります。起こってしまった問題の解決に寄与するものでもありません。

  • 法的な問題: 懲罰の内容によっては、労働法などに抵触する可能性があります。情シスだけで決められることではないということです。

懲罰規則以外に何があるか?

人の心には「一筋縄」では行かない複雑さがあります。多面的なアプローチが必要かも知れません。絞り出して見ました。しかし「言うは易し」の感はなくはないです...。

  • 教育と啓蒙: セキュリティに関する知識や意識を高めるための教育・学習機会の提供、フィッシング対策などの定期的なトレーニング・擬似体験で当事者意識を高めることです。

  • インセンティブ: 懲罰の反対側の概念です。セキュリティに関する良い事例を褒賞することで、従業員のモチベーションを高めることです。→「褒賞」については議論が必要なところかと思います。冒頭で記しましたがこれがどうなのかについては別途考察して記事にしたいと思います。

  • 風通しの良い職場環境: 安心して意見を交換できるような職場環境を作ることで、従業員がリスクコミュニケーションを自然にできるようにする。セキュリティに関する問題を早期に発見し、リスク・解決のコスト(時間・労力)を下げるようにすることです。職場のマネジメントにも関わることですので、情シスだけでできることではないです。情報セキュリティはトップマネジメントのリーダーシップが問われる経営課題でもあります。

  • 技術的な対策: 当事者意識でできることには限界があります。ファイアウォール、IDS/IPS・EDRなどのセキュリティ対策製品を導入し、システム自体を適切に保護することで従業員の負荷を軽くすることです。

  • 報告窓口の改善:風通しの良い職場環境とも関係することです。多くの場合、社内情シスでしょうか。ここでのやりとりの「丁寧さ」が全体の「空気」をつくるように思います。「やってしまった」に類することでもニュートラルか「寄り添う」態度をとることです。

まとめ

懲罰規則は、セキュリティ対策の一環として検討されるべきですが、それだけでは不十分ではないかと思います。教育、啓蒙、インセンティブ、風通しの良い職場環境の整備、技術的な対策など、多面的なアプローチを組み合わせることで、より効果的にセキュリティアウェアネスを高めることができるのだと思います。
結論としては、懲罰規則はあくまで補助的な手段であり、組織全体でセキュリティ意識を高めるためには、従業員が主体的にセキュリティ対策に取り組めるような環境をどうつくっていくかが重要なのです

具体的な対策を検討するときには、考慮する点は次のような感じでしょうか。

  • 組織の規模と業種: 大規模な組織とそれ以外では、適切な対策が違ってくると思います。また、業種によってもセキュリティリスクは異なるかも知れません。

  • 従業員の属性: 従業員の年齢層や職種、雇用形態によって、効果的な教育方法やインセンティブが異なるかも知れません。

  • 現行のセキュリティ体制: 現在のセキュリティ体制の、改善すべき(変えるべき)点は何かも見直してみると良いのではないかと思います。社内情シスだけで担えることかどうかも論点になるかも知れません。

今日はここまで。