年初に見直したい｢形骸化したセキュリティ目標｣ 《行動を生まないスローガンはむしろ危険！》本当に｢意味がある｣目標を立てるための3ルール

フィッシング被害や誤操作といった個別の事象は対応されても、「目標設定が悪かったのか」「なぜ想定していた行動が取れなかったのか」という検証にまで踏み込まれることは、よほど体制を整えている組織でない限り、滅多にないでしょう。

結果として事故は個別に処理され、目標そのものは手つかずのまま残ります。こうした要因が重なり、具体性のないセキュリティ目標は掲げた時点で実質的な意味が失われます。

つまり、セキュリティ目標の形骸化は意識の低さや努力不足が原因ではなく、最初から形骸化しやすい立て方をしていることが本当の問題だと言えるでしょう。

形骸化した目標が生む「本当の危険」

形骸化したセキュリティ目標の最も危険な点は、問題が見えなくなることです。とくに深刻なのは社員がミスを報告しなくなることで、ルール遵守の徹底やミスをゼロにすることが強調されると、人は失敗を隠すようになります。

怪しいメールを開いてしまった、誤送信してしまったなど、本来なら早期に共有されるべき事象が、個人で何とかしようとする、または個人の中で握り潰されてしまうのです。

過去に起きた重大なセキュリティ事故には、最初のミスよりも、その後の「報告されなかった・報告に問題があったことによる初動対応の遅れ」が被害を拡大させてしまったものもあります。形骸化した目標は、初動対応の遅れを生む土壌になる可能性があると言えます。

例えば、22年に発生した兵庫県尼崎市のUSBメモリ紛失事案の問題を拡大させた要因は、最初の紛失行為そのものではありませんでした。