今年も新入社員が入社する季節になりました。今どきの新入社員は「デジタルネイティブ」と言われる世代で、周りにインターネットがあるという世界で育ってきました。従って、ネットへの親近感も、私のような世代とは全く違います。ある大学で調べたところ、研究室にあるパソコンの8割からファイル共有ソフト(P2Pソフト)が見つかったと言います。
匿名掲示板も携帯サイトも使いこなしている世代に対して、新入社員研修で行われる情報セキュリティ教育では、「○○禁止」「△△しなければならない」という「べからず集」「規則」を教えています。デジタルネイティブな彼らにとっては極めて不思議で不便に違いありません。
規則というものは知識として教えても、それが守られるためには「規則を破ったら見つかる」「罰則がある」という抑止力が働くか、「納得」して自発的に実行するかのどちらかが必要になります。ところが、実際に行われているセキュリティ教育では「規則という知識」を教えるだけの場になっていることが少なくありません。
規則という知識を教えるだけでなく、抑止効果を狙うためには、パソコンの操作記録が取られていたり、ネット利用記録が取られていて、違反や不審な行動を監視していることを伝えるべきでしょう。
また、「納得して自発的に行動する」ことを期待するのであれば、なぜその規則があるのか、その規則によってどういうリスクが低減され、どういうリスクは残されているのかについてきちんと説明する必要があります。システム的な対策には限界があって、最後は“情報を取り扱うヒトの良心と注意力に依存している”ということをきちんと教えることによって自発的な行動を期待することができるかもしれません。
この抑止と自発的行動は、組織によってバランスされていなければいけません。業務委託が多い業態や社員の定着率が低い会社、会社への忠誠心や業務へのモチベーションが高くない会社では、自発的行動に大きな期待は持てません。制限と監視、監査などによる抑止効果に期待することになります。
新入社員向けのセキュリティ教育で注意しなければならないのは、「社内ハッカー」の存在です。デジタルネイティブな彼らは「抜け道」を探すこともできます。例えば、Webメールを禁止・制限している企業では、コンテンツフィルタリングやサイトアクセスへの制限が行われています。それらは基本的には「パターンマッチング」に依存しています。Webメールのサイトのリストに基づくアクセス制限が主な技術です。
つまり、登録されていないWebサイトであればWebメールは利用できてしまいます。「Proxyサイト」を利用する方法もあります。Proxyサイトとは、有料、無料でホームページ閲覧を中継するWebサイトです。このようなWebサイトは非常に多くあり、SSLに対応しているサイトも多くあります。これらのすべてがフィルタリングの対象にはなっているわけではありません。Proxyサイトがフィルタリングの対象になっていなければ、どんなWebサイトも自由に閲覧できます。
さらに、クラウドの普及によって、自分でProxyサーバーを構築することも難しいことではありません。これらの技術を使いこなすくらいは、今どきの若者にはさほど高度なことではないでしょう。デジタルネイティブであると同時にクラウドネイティブと言ってもいいでしょう。
私たちもそうだったように今の若者も「とにかくこうしろ」という頭ごなしのルールには素直に従わないものです。ましてや、会社に対する忠誠心が薄れている今ではなおさらでしょう。納得のいく説明と教育、システムによる制限の両方をバランスよく実施するようにしましょう。
