「セキュリティ担当者の意識が低すぎる。ほとんど何もやっていない」と怒りをあらわにするのは，ソフトウエア開発会社でアプリケーション開発に携わる原田氏（仮名）である。

　原田氏は仕事柄，Webサーバーの構築を手がけることも多く，様々なアプリケーションを開発する際に，常にセキュリティを気にかけている。ところが，自社のセキュリティを振り返ってみると，周囲の社員の意識は低い。そもそも，そうした社員を啓発すべきセキュリティ担当者たちの仕事ぶりがなっていないのだ。

　以前，社内で複数のPCがウイルスに感染したことがあった。このウイルスはWindowsのセキュリティ・ホールを突いて感染したが，幸いにも感染被害は拡大せず，大事には至らなかった。

　それでも，感染したPCのユーザーは丸1日，仕事がストップした。また，感染していないPCのユーザーも，感染したか否かを慌ててチェックし始めるなど，社内は一時騒然となったという。

　このトラブルは，Windowsにセキュリティ・パッチをタイムリーに適用していれば防げた。原田氏は，「毎月第2水曜日にある月例のWindows Updateを全社に知らせて，パッチの適用を促してくれさえすれば問題は起こらなかった」と考えている。それなのに，それ以降もセキュリティ担当者から，パッチの適用を促すアナウンスや指示が発せられたことは1度もなかった。

　原田氏の会社にはセキュリティ担当セクションがあり，3人の担当者がいる。ソフト開発に使う機材の調達業務を兼務しながら，全社のセキュリティ対策を受け持っている。

　ただ，彼らは，調達業務は熱心にやっているが，セキュリティ業務は前述したように，おざなりになっているとしか見えなかった。原田氏は「どうもセキュリティの仕事は，押し付けられたオマケの仕事程度にしか見ていないようだ」と感じた。

　それもそのはずで，実はこのセクション，もともと調達の専門部署だった。世間でセキュリティ対策が騒がれるようになり，この部署が兼任することになった経緯がある。ここには最近，新しい社員が配属されたが，この社員は「調達部門」の募集広告を見て応募し，採用された。入社が決まるまでセキュリティ業務のことを知らされておらず，配属先で初めて説明を受けて驚いたようだ。こうした背景が社員のやる気に影響していることは間違いないだろう。

　このケースで「名ばかりのセキュリティ担当者」が生まれた原因は何だったのだろうか。もともと専門外の仕事を任されて，担当者のやる気が出なかった点は同情できる。基本的に人選を間違えたとも言える。だが，任された仕事である以上，彼らが対策をおざなりにしていい理由にはならない。

　本当の原因は，おそらくセキュリティ担当セクションを作り，関連業務を割り当てたところで，会社側が満足してしまった点にあると思われる。本来なら，セキュリティ担当者が具体的な施策を打ち出し，それを全社員の協力を得ながら徹底できるかどうかが重要なはず。しかし，会社側が彼らの仕事ぶりをチェックしている様子はなく，成果には無頓着である。担当者たちのスキルアップを図るような施策も一切ない。この状況からは，やる気やスキルの有無にかかわらず，「担当者を置けば問題は解決する」といった短絡的な考えが透けて見える。

　こうした現場でできることは，セキュリティ意識の高い現場の社員たちが，大きな声を出して改善を訴えていくことだろう。傍観しているだけでは，いつになっても事態は変わらない。セキュリティ担当セクションを設置するくらいの会社なら，現場からの訴えをきちんと理解できるはずだ。