世代間ギャップを超えたセキュリティのあり方

セキュリティに関する戦略を策定するに当たっては、世代間の違いを考える必要がある—RSA Conference 2020での、ベン・スミス氏の講演より。

ビジネスの場で絶対に避けるべき話題の代表例といえば、年齢の話です。しかし、RSA Conference 2020で、まさに年齢をテーマにしたセッションに遭遇しました(リンク先は英語)。

誤解なきように。年齢による差別だとかそういった類いの話ではありません。その講演はRSAのフィールドCTO(米国)であるベン・スミス(Ben Smith)氏によるものでしたが、明確に定義された4つの世代(伝統世代、ベビーブーマー世代、X世代、ミレニアル世代)が現代の職場をどのように構成しているのかを考察する内容でした。もちろん、中には「はざまの世代」、すなわち世代をまたいで両世代の一部特性を併せ持つ傾向にある人々も含まれます。

これはビジネス界にとって、特にセキュリティ業界にとって重要な指摘です。なぜかと言えば、仮説ではなくデータに基づいた話であるからです。実際に、世代によってテクノロジーの消費のあり方は異なります。

したがって、セキュリティに関するトレーニングプログラムを策定するに当たっては、1つのやり方では万人に対応できないことを理解しなくてはなりません。

上記はスミス氏の講演に使われたスライドの一部です。下の(若い)3つの世代はいずれも情報を重視していますが、情報に対する態度は大きく異なります。ベビーブーム世代は「情報を持つこと」、ジェネレーションXは「情報を共有すること」、ミレニアルは「情報がどこにあるか、どうすればすぐに情報を得られるかを知ること」に重きを置いています。スミス氏はこのほかにも、寝室にスマートフォンを持ち込むかどうか、どこで仕事をするか、仕事と私生活の境界線、デジタルメディアの消費、 SNSに使う時間など、一般的な世代間でのギャップを挙げています。このあたりの詳細については、スミス氏の講演の録画に譲りたいと思います(英語)。

そうは言っても世代間には共通項があり、そこを中心に据えてセキュリティプログラムを作ることは可能です。それにしても、「仕事とセキュリティ」の文脈で特に私の印象に残ったのは、下の画像(講演スライドの一部)にあるように、仕事とセキュリティをバチッと切り替えるスイッチがないという指摘でした。セキュリティトレーニングは、その点にどうやって対応すればよいのでしょうか?

リモートワーク:もはや定時勤務というものはなく、人々は常にオフィス以外の場所で仕事をしているのだと認めましょう。方策を立てるに当たっては、リモートワークに伴うリスクに対応するとともに、企業のポリシーの範囲内で仕事をするためのベストプラクティスも示すのを忘れずに。たとえば、公衆Wi-Fiネットワークを利用するときにはVPNの使用を義務づける、外部の目に触れてはならない文書を誰でも使えるファイル共有サービスには保存させない、仕事用のデバイスで使用してよいアプリと行ってよい操作を定義する、などが挙げられます。

ソーシャルエンジニアリング:家族や交際相手を装った偽のSNSアカウントについては、一般の認知が進んできています。「よく知っている人の偽物」は企業にとっても同じく脅威であり、会社でのセキュリティ意識向上の取り組みで取り上げるべきでしょう。CEOのふりをした何者かに緊急の送金を求められて数十万ドルを不正口座に送金してしまうような事態に、誰だって巻き込まれたくないはずです。

データ共有:最近では、Webサイトへアクセスするとき、パスワードを作成する代わりにSNSのログイン情報を使用できます。ただ、そうすることで生じるリスクを十分に認識していない人や、そうすることでどんなデータを提供しているのか気付いていない人がいます。社員教育プログラムを検討する際には、この点を重要ポイントと考えましょう。また、業務用のメールアドレスを使って登録してはいけないWebサイトの種類についても盛り込みたいところです。出会い系、ギャンブル関連のほか、自社の業務に無関係のWebサイトが対象になります。

マルチデバイス利用:私用デバイスの業務利用(BYOD)の流れは、IT部門やセキュリティ部門のマネージャーにとって、数年来の頭痛の種です。いまや、この状況を受け入れるしかありません。自分のスマートフォンやノートPCやタブレットで仕事をし、業務用デバイスを使って個人的な用事を済ませるような動きは、ポリシーで縛っても止められるものではありませんが、どういった運用がベストなのか、何をしてよくて何をしてはいけないのか、自分のデバイスを守るにはどうしたらよいか、学んでもらうことはできます。

ゲーミフィケーション:この言葉自体になじみがなかったとしても、インターネットを使ったりゲームをしたりする人なら、ゲーミフィケーションは身近な存在のはずです。「Xをすればポイントを獲得できる」「成績上位者はYがもらえる」という感じの、あれです。セキュリティトレーニングを計画する際には、ゲーミフィケーションを取り入れることを検討しましょう。それから、成績の良い人に対するご褒美も。ただお尻をたたいて「覚えろ」「実践しろ」というのではなく、励みになる何かを提示したいものです。

職場は1つ1つ異なります。自分の部署での反応は、お向かいにある会社での反応とはきっと違うことでしょう。それでも、世代によってテクノロジーとのつき合い方が異なることを考慮した上で共通点に目を向けるアプローチは、全員にとって有益なセキュリティ計画を立てる上で役立つものと思います。

ヒント