treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

セキュリティ担当者が頑迷なユーザを説得するため

セキュリティ担当者がする説明がユーザに響かないことがあります。
たいていは利便性とセキュリティの戦いになっています。

どうしてもセキュリティ担当者がルールを遵守させなきゃいけない時の説得の言葉

「あなたを守るためです。」
「ルールとして会社に認められた規定(規程)を遵守しているユーザが不足の自体で漏えい等事故に巻き込まれたとしても、会社は罰する資格がありません。会社が罰せられるべきです。ただしルールを曲げているユーザが漏えい事故等に巻き込まれた際に、会社は護ってくれません。むしろ、巷のニュースのような損害賠償請求をされるかもしれません。」

これです。
つまり、社内規程やセキュリティポリシーの存在している理由を
「ルールを遵守しているユーザを護るため」
という論点で話してみることをお勧めします。
ルールを遵守したくないのは、ルールを遵守することの意味や意義を見失っているからです。(きっと)
だから、あらためてセキュリティの担当者である貴方が、ルールを遵守することの意味を説明してみましょう。
またルールはユーザを護るために存在している=ルールを守っているユーザは会社が守るべきユーザ、という公式も教えてあげるといいです。

議論が紛糾する理由

全てがそうだ、というつもりはないのですが、議論が紛糾する主な理由は、「お互いの利害が一致しないことによる主張の仕合」という部分にないでしょうか?
つまり、便利にしたいユーザと保護を万全としたい管理者、という構図ではお互いの利害は一致しないことが多い、ということです。
セキュリティの管理者側からすれば、会社のデータを保護すること、というのは会社もユーザも護ることに他なりません。ですが、ユーザ側からすると「守られている状況こそが当たり前な状況」という前提において利便性を主張してくるものですから管理者側と話が噛み合わないのは仕方ない状態だと考えていいと思います。

話し方の前提

つまりセキュリティは利便性とトレードオフ、ということを言い換えて
「誰のためにトレードオフをしているのか。」
という原点に立ち返り、会社の情報(IT)の保護はユーザのためだ、という視点で会話するように努めると自然と表現も変わってくることによってユーザも受け入れやすくなるんじゃないかな、と思ったんです。
企業のセキュリティ担当者って、結構独善的・排他的な性質があることが多く、もしそのようなつもりがない担当者の方であっても、そういうイメージで見られることが多いです。セキュリティ担当者って気難しいイメージがありますから。

物腰の柔らかいセキュリティ担当者?

セキュリティ担当者が物腰が柔らかいと、ユーザに理解できないことはスルーされてしまい、それによってセキュリティ侵害が発生してしまう、ということはあるかと思います。
なので必ずしも日頃からユーザフレンドリーな担当者である必要は無くて、むしろインシデント発生時には強権発動できるくらいの強硬さはあってしかるべきだと思っています。でも世の中強行するだけでは議論が収まらない部分はどうしてもあるので、
「普段はさておいても、ここぞという時に議論を収めるためには、ユーザの話に耳を傾ける」ことができるセキュリティ担当者であることは必要だと思います。
ユーザの利便性・利害はこれだけ考慮したけども、それでも会社やユーザを護るためにはセキュリティによってこれだけの不便を強いることになってしまいますよ、というユーザ目線ですね。

ユーザの不便と引き換えに護っていること⇒もっとアピール?

セキュリティ担当者はユーザに不便を強いることで、ユーザから見ればヒール(悪役)になりがちなイメージが強いですが、実際はユーザを護るための不自由をユーザに強いているという矛盾した業務をしています。
昨今のセキュリティにおいては、どの会社でも対策として「懲戒」や「損害賠償」などを社内規程に入れていることが多いようです。重大なセキュリティ侵害においては、いま所属している会社から損害賠償請求を受けることもある、ということですね。
このとき、社内規程を守っていたかという点については、やはり重要になるのではないかと考えられます。つまり社内規程を守っていた善良な会社員がセキュリティ侵害によって会社の重要データがどうにかなってしまって、会社が損害被った、ということであれば、ユーザに責任はいかない(ユーザの責任にすべきじゃない)と思います。
ようするにルールを守って使っている分には、ユーザは訴訟リスクからは遠い位置で業務に集中できる、ということです。社のルールを守るということ/不便なルールの存在、はユーザ側にこのリスクを取らせないためにセキュリティ担当者が引いている予防線なんだよ、ということを理解してもらえれば、ユーザの温度感も多少変わるんじゃないかなと思うのです。