フィナンシャルテクノロジー

情報セキュリティと「しみじみ感」

GRCS

2018/03/02 18:19:12

～情報セキュリティへの理解を深めるために～

セキュリティ・エグゼクティブ・ディレクター　中島浩光

私は某外資系コンサルティング会社に新卒で入り、約12年働いていました。ある時（もう15年位前でしょうか？）、お客様への提案書を作っており、ドラフトを作り、上司にレビューをしてもらったのですが、その時、上司にこう言われました。

「うーん、内容としては分かるんだけど、『しみじみ感』が足りない

なぜ、「しみじみ感」？

なぜ、このコラムでこんな話をしているか？というとコラムのネタをあーだこーだと考えていたところ、

「今の情報セキュリティに足りないのは『しみじみ感』ではないか？」

と、唐突に私の思考に出てきたからなのです。ということで、今回のコラムではこの『しみじみ感』について書いてみようと思います。とはいえ、まず、この『しみじみ感』と言ったところで、「何それ？」という人もいるかもしれないので、まずは定義が必要です。

「しみじみ」という言葉を辞書(デジタル大辞泉)で調べると、

１：心の底から深く感じるさま。「世代の違いをしみじみと感じる」

２：心を開いて対象と向き合うさま。「友としみじみと語り合う」

３：じっと見るさま。「しみじみと自分の顔を眺める」

とありました。この中でいうと『しみじみ感』は１の意味で使われていると思われます。

そのため、『しみじみ感』の意味としては

「心の底から深く感じることが出来そうな感じ」

というあたりでしょうか？違う言い方をすると

「心の底から納得できる」

「頭で分かるだけでなく、心のそこから賛成できる」

「ものすごく身近に感じる」

というと、『しみじみ感』を『しみじみ感』付きの説明になっているでしょうか？

『しみじみ感』はなんのため？

さて、外資系コンサルティング会社時代の上司はなぜ「『しみじみ感』が足りない」といったのでしょう。当時の私は、それを感覚的に受け入れてしまったので、理由を明確には聞いたわけではないですが、お客様向けの提案書であり、その案件をとるためには、当時の上司は提案書に『しみじみ感』が必要と考えたのでしょう。

なぜ『しみじみ感』が提案をとるために必要なのか？それは提案を受けるお客様が提案内容に納得する、賛同する。しかも、他社の提案書と比較されるため、「うん、ここに頼みたい」と思わせるために、必要だったのです。

ということで、今現在の情報セキュリティの現状を考えると、

・情報セキュリティの関係者が、情報セキュリティの重要性をいろいろ言っている。

・一般企業の経営者レベルでも、情報セキュリティは重要だとは言っている。

・情報セキュリティ人材不足が叫ばれている。

・とはいいつつ、情報セキュリティは「良く分からないモノ」として扱われる。

・情報セキュリティを重要視している、とはいいつつ、事故は減らない。

という感じで、情報セキュリティ(サイバーセキュリティ)に関していうと、昔に比べればマシにはなったかもしれませんが、10年前とそこまで大きくは変わっていないかなぁ、という印象なのです。

もちろん、情報セキュリティに積極的に取り組んでいる一般企業もいます。ただ、それは資金に大きな余裕のある大企業が多く、ITが事業の中核である意識が高い企業だったり、そうでなければ、法令等の規制でやらなければいけない企業や、過去に大きな事故を起こした企業にとどまっているのでは？という感じがあります。これらの企業にとっては、情報セキュリティ事故は、

・セキュリティ事故→システムが使えない→業務が止まる→一日○億円！

・セキュリティの法令順守違反→監督官庁に見つかる→営業停止等の罰則！

・セキュリティ事故→過去の事故でめちゃくちゃ苦労した！

ということを、情報セキュリティ担当者以外の現場の担当者、管理職、役員といった層が情報セキュリティの重要性を頭ではなく、それこそ「しみじみと」感じている組織が多い気がします。

つまり、情報セキュリティを進めていくには、情報セキュリティの専門家以外の人が「しみじみ」と理解してもらうことが必要であると思うのです。