｢現場を信頼する｣｢セキュリティはIT部門に任せる｣会社ほど､サイバー攻撃に狙われやすい不都合な真実《変えるべき3つの視点とは？》

「細かいことまで指示すると、現場のスピードが落ちる」「優秀な社員を信頼しているから任せている」という考え方は健全な組織運営に欠かせないものです。

しかし、実際の現場では「このメールは開いても問題ないだろうか」や「設定を少し変えたいが、相談するほどではないかもしれない」など、グレーな判断が日常的に発生しています。

このとき、判断基準や行動指針が明確でなければ人は自己判断をします。経営としては信頼して任せているつもりでも、現場から見ると「相談していいのかわからない」「余計なことを言って評価を下げたくない」という迷いが生まれてしまいます。

その結果、判断を1人で抱え込み、報告や相談が遅れてしまうのです。信頼することと判断基準を示さないことは、別物だという点を改めて認識する必要があります。

「セキュリティはIT部門に任せている」は何が問題か

「セキュリティは専門領域だからIT部門に任せている」という判断自体は極めて合理的です。システム対策や技術的な管理は、専門家に任せるべき領域でしょう。

ただし、多くの事故の起点は、誤送信や添付ファイルの開封、設定ミス、報告の遅れなど、人の行動に起因しています。ある程度ツールや仕組みでカバーすることはできますが、人の行動のミスをIT部門だけで防ぐことはできません。

経営層がセキュリティに関心を示さず「ITの話」として切り離してしまうと、これは自分たちの仕事ではないという空気が現場に広がってしまいます。IT部門がいくら注意喚起をしても、それが経営メッセージとして伝わらなければ行動は変わりません。