｢メールの送信先を間違えました｣｢USBをなくしました｣…"新入社員のやらかし"に上司が絶対やってはいけないこと

重要なのはインシデント発生時の対処方法だ。USBをなくしました、メールの送信先を間違えました、といった想定可能なインシデントに対して、対応手順を決めておく。状況を正しく認識することで、次の指示を的確にできる手順、問題箇所の特定と修正ができる体制づくりが必要だ。

サイバーセキュリティに新人もベテランもない

勘のいい読者ならすでに気づいていると思うが、実は以上に述べたインシデントの例、注意点や指導のポイントは、新入社員に限ったことではない。

ここでは「新入社員のやらかし」を元にセキュリティ対策について述べたものだが、中身はすべて自分たちにもかかわる話だ。上から目線で対策ポイントなどを並べているが、それらはすべて筆者を含む自分たちにも返ってくる内容なのだ。

実際、筆者が、電車の中で応募者の履歴書を広げて読んでいた中年男性を目撃したことは1回ではない。偽メールやAIの合成音声にだまされるのは新人ではなく、高額の決済を任せられている中堅社員たちだ。

慣れないシステムの操作でミスを犯すのはむしろベテラン社員だったりする。自分たちが身に付けたビジネスマナーなどは指導できるかもしれないが、サイバーセキュリティについて、業務の経験値は意外とあてにならない。

セキュリティに対する気づきや意識を「アウェアネス：awareness」という。これを根付かせるには、本人が自分の考えでセキュリティを認識する必要がある。

「今までそうしてきたから」以外に合理的な説明ができないルールは、命令するだけでは定着しない。なぜその規制が必要なのかが明確でなければ、人は納得しないし、表面的な運用がなされるだけだ。

ルールを守ることが目的化し、ルールや前提を少し外れた状況への対応ができなくなり、騙される、失敗する、被害に遭うわけだ。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、中尾 真二さんの最新記事をメールでお知らせします。