辞めるのが正解…? 情報の罠にハマる令和の新人と迫る企業の教育革新
いくつかの外資企業のIT環境に入ったときに最初に思った。
「日本企業って大丈夫なのか?」
以前、東京で仕事をしていたころ。
日本企業でもセキュリティに関しては九州の地場企業より進んでいたと感じていた。
けれど、それ以上過ぎるほどのセキュリティの強さ。
何故なら、仕組みが全く違う。
・ブラウザにパスワード保存?できない。
・11桁未満?通らない。
・二段階認証?必須。
・公共Wi-Fi?論外。
・cookieはシステム許認可制、サードパーティーcookieは論外
自由は少ないけれど事故も起きにくい。
「守ってください」じゃなく“守らないと動かない”設計が当たり前。
それは、どの外資企業も同じ。
日本企業でよく見る光景
事故が起きるとお決まりに始まること。
・セキュリティ研修の強化
・意識向上セミナー
・注意喚起メール
・標語ポスター
そして締めの一言。
「一人ひとりの意識が大事です」
……本当に?
意識で守れるなら、世界から乗っ取りや情報漏えいは消えている。
人は、必ずミスをする
忘れる。
急ぐ。
面倒を避ける。
疲れている。
これは能力の問題じゃない。
人間の仕様。
外資はここを前提にする。
だから、
・保存できない
・桁数や文字種類が足りないと弾かれる
・怪しいアクセスは自動停止
“ミスできない構造”にする。
意識の課題にしがちな会社の共通点
セキュリティを人任せにしている会社ほど、
システムを変えずに人を変えようとする。
ルールは増える。
メールは増える。
でも設計は変わらない。
それはセキュリティの話から他にも通じる。
残業も、ハラスメントも、ヒューマンエラーも同じ扱い。
構造を触らず、意識でなんとかしようとする。
便利さは保全や防衛そのものを削る
ブラウザ保存は時短になるしラク。
短いパスワードは覚えやすい。
公共Wi-Fiは便利。
とはいえ、その便利さは、
「事故が起きない前提」
の上に成り立っている。
外資企業はこう考える。
事故は起きる。
だから被害を最小化する。
日本はこう考えがち。
止めないことが大事。
過度に縛らないことが大事。
どちらも合理的。
とはいえ、攻撃者は止まってくれない。
刺さる問い
あなたの会社は、
“事故が起きないと信じている設計”ですか?
それとも、
“事故は起きる前提で守っている設計”ですか?
「教育を強化します」と言った瞬間、
もしかしたら設計から目を逸らしているかもしれない。
セキュリティは性格の問題じゃない。
思想の問題でもない。
事故があること前提で地雷を取り除くような業務改善の仕組みつくりが急務。
ここに手を入れない限り、
どれだけ研修を増やしても、本質は変わらない。
