IT部門のwithコロナに向けた方向転換

日本HPの調査レポートの記事を読むと、コロナ禍の例外措置から次は何をしなければいけないのかが見えてくるかも知れません。

japan.zdnet.com

今回の分析から同社は、IT部門と従業員の間に、セキュリティ対策をめぐる“確執”があると指摘する。リモートワーク下でのセキュリティに関する主な調査結果は次の通り。

従業員

・18～24歳の従業員の39％が自社のデータセキュリティポリシーをあまり理解していない
・18～24歳の従業員の54％がデータ漏えいよりも業務の期限を心配する
・従業員の36％が研修で自宅ネットワークの保護方法を学ぶ
・18～24歳の従業員の48％はセキュリティポリシーが業務の妨げになると考えている
・従業員の37％はセキュリティのポリシーや技術が厳し過ぎると感じている
・従業員の48％はセキュリティ対策で多くの時間を浪費していると感じている
・18～24歳の従業員の31％がセキュリティ対策を避けようとした

キタきつねの所感

私自身も現在進行形で過ごしている「コロナ禍」ですが、今後もIT部門や従業員の意識が同じのままであるとすれば、今後、多くの会社・組織において、インシデントが発生する未来しか想像できません。

ZDNetの記事では日本HPの調査レポートのエッセンスとして、リモートワーク下でのセキュリティに関する状況をまとめていますが、この調査データに概ね沿っていると考えると、（多くの）従業員は現状IT部門（≒会社）から提供されているリモートワークの為の資産・サービスに潜在的な不満が強く、そうした中でも従来通りに”成果を上げる”という至上命令を、場合によってはセキュリティを無視しても達成しようとしているのが”現状”なのかと思われます。

セキュリティの観点でも見ると、私は以下の3点にまとまるのではないかと思います。

・ポリシーはwithコロナの「現状に合っていない」※更新されていない

・自宅ネットワークに関するセキュリティは「何も言われていない」

・セキュリティ対策が成果を挙げるという目標を「邪魔している」

一方でIT部門は、また別な課題を抱えている様です。

IT部門

・76％はコロナ禍の事業継続を優先してセキュリティ対策を後回しにしていた
・91％は事業継続のためにセキュリティ対策を妥協したことが心理的な圧力になった
・81％は在宅勤務が不正アクセスなどの温床になると懸念している
・91％が在宅勤務のためにセキュリティポリシーを変更した
・78％がウェブサイトやアプリケーションへのアクセスを制限した
・80％が従業員の抵抗に遭った
・80％はセキュリティが報われない業務だと感じるようになった
・69％は従業員から悪者扱いされているように感じるようになった

（ZDNet記事より引用）

この調査結果は、本来のIT部門（情セキ部門）の範疇外も含まれている気がしますが、コロナ禍で例外対応をした事を重々承知した上で、可用性が落ちた事を従業員に申し訳ないと内心思いつつも、事業継続の（≒経営陣からの指示の）為に、人手不足の中、出来る事を実施してきたのに・・・従業員側から「悪者扱い」されてモチベーションが下がっているという”現状”が浮かび上がってきます。

こうした現状を変える為には、コロナ禍（緊急事態宣言）がひと段落つき、少し余裕が出てきたこの時期にwithコロナに向けた課題解決を図っていく事が重要かと思います。

記事では、経営陣（CISO）や従業員のサポートによって組織全体のセキュリティ文化を（更に良い方向に）変えていく事を提言していますが、IT部門だけでは正直、方向転換をリードするパワーが足りないという事を、経営陣や従業員「も」認識し、IT部門と連携しながら方向転換を図っていく、そうした事をしていくのが多くの企業・組織が目指すべきなのかと思います。

　また、IT部門は緊急のセキュリティ対応などに追われて現在は疲弊しているとし、全従業員にセキュリティの責務を認識してもらうような支援が必要だとする。

　企業や組織にとってコロナ禍は、これまでに経験したことがない事態であるものの、同社は一連のセキュリティ対応を踏まえて最高情報セキュリティ責任者（CISO）などがリーダーシップを発揮し、組織全体で協調してセキュリティに取り組む文化を醸成していくべきだと提言する

（ZDNet記事より引用）