セキュリティの現場では,対策が一向に進まず,ずさんな状態のまま放置されているケースが多い。そのような企業を数多く取材したところ,根本的な原因の一つとして浮かび上がってきたのが深刻な「人手不足」だった。
典型例を一つ挙げると,企業の業績悪化やリストラなどによりシステム担当者が減らされ,通常業務の負担が急増したためにセキュリティ対策まで手が回らないというパターンである。
セキュリティ対策をしっかりと実施するために,経営者にセキュリティ専任者の設置など,人手不足の解消を要望したケースもある。だが,対策の重要性を全然理解していない経営者からは,「経営状況が厳しいからダメだ」の一言で片付けられてしまう。
このような状態が続けば,情報漏洩などの事件が起きる危険がある。しかし,現場の努力だけではどうしようもない。「一体どうすればいいのか」と,現場にいるシステム管理者やユーザーの悩みは深まるばかりだ。
リストラで慢性的な人手不足
「正直,いつ重要な情報が漏洩してもおかしくないほど,自社のセキュリティはずさんだ。しかし,万一情報漏洩が起これば,責められるのは私だろう。そのことを想像すると,不安で胸が締め付けられる」。こう告白するのは,機器メンテナンス会社のA社に勤める技師の小山氏(仮名)だ。
A社は小規模な会社なので,システム部が存在しない。そのため,メンテナンス技師である小山氏が,通常業務の合間や夜間に社内システムの開発・運用からセキュリティ対策に至るまでを,一人で担当している。
リストラが進むA社では,小山氏をはじめ技師の通常業務はただでさえ忙しくなっている。そのため,小山氏が一人でセキュリティ対策を実施するには限界がある。最も基本的なウイルス対策やセキュリティ・パッチの適用ですら十分にできていない。これらの作業はユーザーに任せざるを得ず,各PCのセキュリティ状況を確認しようにも時間やツールが不足している。
情報漏洩対策も同様である。各技師は,秘密保持契約を結んで入手した様々な製品の技術資料をノートPCに入れて持ち歩いている。この技術資料が漏洩すれば,メーカーとの取引停止,ひいてはメンテナンス契約を結んでいる顧客を失うことになりかねない。しっかりしたセキュリティ対策をしたいところだが,これも技師任せにせざるを得ない。
