情報システム部で実際に起きたセキュリティ事故の事例をもとに、対策のあり方を考えます。意識が高い人でもミスは起こるという前提に立ち、失敗を隠さずに共有して、より安全な環境を目指すことの大切さを伝えます。
日頃からどれだけセキュリティに気を配っていても、事故は起こり得るものです。今回は、情報システム部で実際に起きた2つの出来事を通し、セキュリティ対策における前提の捉え方や、失敗を共有することの重要性について考えます。
実際に起きた2つのセキュリティ事故
先日、情報システム部内で2つの報告がありました。
1つ目は、セキュリティルールの運用を担当しているメンバーからの「メール誤送信」の報告です。幸いにも機密情報の漏洩といった深刻な事態には至りませんでしたが、社内のルールに基づき、セキュリティ事故として適切に対処しました。
2つ目は、セキュリティ対策における特定分野のリーダーからの報告です。社内で実施されたフィッシング対策の訓練メールにおいて、記載されたリンクを誤ってクリックしてしまったという内容でした。訓練のため実害は発生していませんが、ルールに則り、後追い教育受講などのフォローアップを行いました。
セキュリティ事故は「意識の低さ」だけで起きるのではない
今回報告をしてくれた2名は、普段から非常に細やかでキッチリとした性格であり、セキュリティに対する意識も極めて高いメンバーです。
この出来事は、「セキュリティ事故は意識が足りないから起こるわけではない」という事実を、私たちに改めて実感させました。どれほど個人の意識が高くとも、日々の業務の中でミスや事故は発生してしまうものです。セキュリティ対策を構築・運用する上では、こうした「事故は起こるもの」という前提に立ち、システムやルールを整備することが重要です。
失敗を共有し、より安全な環境へ
今回の件をブログに掲載するにあたり、当事者であるメンバーに確認したところ、「セキュリティ意識の啓発につながるのなら、ぜひ役立ててほしい」と、快く承諾してくれました。
ミスや失敗を隠さず、前向きに共有して組織全体の意識向上につなげようとする姿勢こそが、セキュリティをさらに強固にする重要な要素です。これからも失敗から学び、その教訓を組織全体で共有することで、より安全で信頼性の高い環境づくりに努めてまいります。

