｢SNSに社員証アップ｣｢認証管理も自己流｣･･･新入社員の｢セキュリティミス｣を防ぐために実践すべき《7つの習慣》

学生時代の習慣をそのまま持ち込むので、「認証管理が自己流」だ。パスワードを使い回し、付箋で管理し、MFA設定を後回しにする。おそらく、早く便利に仕事ができることは、安全で確実な保護よりも重要だと思っている。

「配布端末やアプリを初期状態で使う」ケースもよくある。共有リンクを「誰でも閲覧」のまま使い、無料ツールや拡張機能を自己判断で入れてしまう。OSやアプリの更新はいつも先延ばしだ。私物端末では自由きままにできたことが、会社の管理された環境では許容されないという感覚がまだ身に付いていないのだ。

「異常時対応と物理対策が弱い」のも新入社員の特徴だ。PCをどこかに置き忘れる、電車でPC画面を見られる、誤送信してしまうなどはよく聞く話だ。しかも、そのミスに気づいても、様子を見る。これまで友達に、いや、「チャッピー」ことChatGPTアプリに何でも相談してきたため、不審なことがあっても自社の情報セキュリティ部門に相談など絶対にしたくないという心境なのだろう。

脅威は変わったが、侵害の構造は変わらない

いずれも、問題を引き起こしているのは、知識の欠如ではなく「環境と習慣」だ。だからこそ、判断と実践が現場で機能する「習慣」を新入社員の段階から身に付けていくことが必要になる。技術がいかに高度化しても、ツールを使う人が適切な習慣を持っているかどうかで、防御の実効性は決まる。

そのため、訓練対象となる社員にも情報管理者にも、どんな習慣を改善させるか、どんな習慣を新しく根付かせるか、そこに注目してセキュリティ耐性のチューニング、アップデートを重ねていく必要がある。