｢どうせうちの責任でしょ?｣ーーセキュリティの足引っ張る“冷笑主義”とは？定性的な評価が招く労働意欲の低下に【数値化】の切り札

例えば、ある企業が「本社が指定したメーカー製のUSBデバイス以外は使用不可」というルールを作ったとしよう。これだけでは定性的なメッセージだ。しかし、指定外USBを利用している社員の割合が〇%以下だったら「A（合格）」「B（ギリギリ）」「C（失格）」という基準を設ければ、定量的なメッセージにすることができる。

「もし、ある海外拠点が『C（失格）』だった場合、経営者は細かいことを知らなくても『C（失格）はダメ』とわかるので、担当者に『なぜあなたの拠点はCなのか？ すぐBにしなさい』と指示できますよね。

こうした評価は、さまざまな環境（社内、在宅、カフェなど）で働いている社員を網羅したうえで、定められた時間でリアルタイムの情報を集めて行います。そのため、指定外USBを使用した従業員にリアルタイムで『ポリシー違反で懲戒対象になります。至急外しなさい』と警告のポップアップを出すことも可能になります」

冒頭の話題に戻るが、定量化によって本来のセキュリティリスクに焦点が当たるようになれば、セキュリティチームが不当に非難される事態は減らせるだろう。また、自動化によって、セキュリティチームが目先の業務に追われることなく、戦略的な課題に注力できるようになれば、モチベーション向上にもつながる。楢原氏によれば、実際「リアルタイムで正確なデータを把握できるようになってから離職率が下がった」と話すCISOもいるという。

サイバーセキュリティの定量化は、現場のシニシズムの解消や経営層のマネジメント支援につながり、組織全体のサイバーセキュリティの成熟度向上に貢献するといえそうだ。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、宮内 健さんの最新記事をメールでお知らせします。