野沢氏(仮名)は,セキュリティ分野で国内屈指のITベンダーに勤務する技術者である。野沢氏の職場は研究部門で,毎日のように発生するセキュリティ・インシデントを監視し,発生したインシデントへの対策を講じている。いわば,セキュリティに関する「プロ中のプロ」である。それにもかかわらず,「社内のセキュリティ・ポリシーを破ることは日常茶飯事だ」と,自身を振り返って苦笑する。

 野沢氏の勤務先のセキュリティ・ポリシーでは,「システム部が施したPCの設定を変更してはならない」「サーバーを立ち上げる場合は,システム部の事前承認が必要」となっている。

 しかし,野沢氏の仕事上,インシデントへの対策が効果を発揮するかどうかを特定の条件下で検証する必要がある。このため,頻繁にPCを初期化してOSを入れ直したり,Webサーバーを新規に立ち上げたりする必要に迫られる。セキュリティ・ポリシーの存在はもちろん知っているが,いちいちシステム部に申請していては業務が回らない。

 野沢氏がこのITベンダーに入社したのは数年前である。入社前は,セキュリティ分野の有力ITベンダーに勤務する以上,「セキュリティ・ポリシーは守らなければならない」と考えていた。ところが,いざ入社してみると,現場の同僚は,セキュリティ・ポリシーを無視してやりたい放題だった。そのうち野沢氏も,セキュリティ・ポリシーを気にかけなくなっていった。

 このITベンダーのSEたちは,セキュリティの「プロ」でありながらセキュリティ・ポリシーを守っていない。その理由を「プロ意識の欠如」に求めることはできる。しかし,問題の本質は別のところにありそうだ。

 野沢氏の勤務先では,全社で同じセキュリティ・ポリシーが適用されている。しかし,総務部や営業部門と野沢氏のいる研究部門では,業務内容が全く異なる。野沢氏や同僚はセキュリティ・ポリシーが足かせになり,業務に支障を来していると感じている。セキュリティ・ポリシーが業務の実情に合っていないのだ。

 セキュリティ・ポリシーを厳しく規定することが悪いわけではない。ただ,守れないと分かっているセキュリティ・ポリシーを作っても意味はない。社員にポリシーを順守させるには,現場の実情に沿って修正することも検討すべきだろう。