Lockiron / The Fortress of a Solo IT Manager | 一人情シスの砦
| | Philosophy

「守らせる」ことを諦める:一人情シスのための「意識合わせ」としてのセキュリティポリシー設計論

#セキュリティ #情シス #組織論 #ガバナンス #マインドセット

「セキュリティポリシーを策定しました。これからはこの規定に従って業務を行ってください」

全社会議でそう高らかに宣言し、分厚いPDFを配布する。 多くの情シス担当者が、これを「仕事の完了」だと錯覚します。しかし、一人情シスという過酷な環境において、この瞬間こそが「組織崩壊」へのカウントダウンの始まりであることが多いのです。

なぜなら、「守らせるリソース」を持たない人間が、「守らなければならないルール」を作ってしまったからです。

本稿では、一般的なセキュリティガイドライン(IPAやISMSなど)が前提としている「理想」と、中小企業の「現実」とのギャップを直視し、あえて**「厳密に守らせようとしない」**という逆説的な設計思想について解説します。これは決してセキュリティを軽視するものではなく、リソース不足の中で実効性を最大化するための、極めて現実的な生存戦略です。

1. なぜ「守らせる運用」は必ず破綻するのか

まず、一般的なセキュリティ対策の教科書が前提としている世界観と、我々が生きる世界の違いを整理しましょう。

教科書(IPA/ISMS)の世界観

  • 前提: 組織には「管理者」と「監視者」が十分に存在する。
  • 構造: トップダウンで命令が下り、管理職が部下を監督し、監査部門がそれをチェックする。
  • 是正: 違反があれば即座に検知され、指導や懲戒が行われる。
  • 性悪説: 人はミスをする、あるいは不正をする生き物であるため、システムで強制的に縛るべきである。

この世界観において、セキュリティポリシーは「法」であり、絶対的な拘束力を持ちます。それを支えるのは、MDM(モバイルデバイス管理)、CASB(クラウドセキュリティ)、DLP(情報漏洩対策)、そして24時間体制のSOC(セキュリティオペレーションセンター)といった**「強制執行力を持つツールと組織」**です。

一人情シスの現実世界

  • 前提: 監視者は「自分一人」。しかも、ヘルプデスクやインフラ整備で手一杯。
  • 構造: 社長直下の場合もあれば、総務兼任の場合もあり、指揮命令系統が曖昧。現場の発言力が強い。
  • 是正: 違反があっても、ログを見る暇がないため検知できない。事故が起きて初めて発覚する。
  • 性善説(強要): 「システムで縛る金も人もないから、社員の良心を信じよう」という、希望的観測に基づく性善説

この状況で、教科書通りの「厳しいポリシー(法)」を導入するとどうなるでしょうか。

**「警察のいない無法地帯に、厳しい法律だけが存在する」**状態になります。

「USBメモリへの書き出しは禁止」と規定にあるのに、ポート制御ソフトが入っていないため、誰もが自由に書き込める。「クラウドストレージはGoogle Driveのみ」と決めたのに、大容量ファイルを送るために現場判断で無料のファイル転送サービスが使われる。

警官(情シス・ツール)が見ていないことを知っている市民(社員)は、業務効率という正義の下に、平然と信号無視を繰り返すようになります。そして、次第に**「ウチのセキュリティルールは、守らなくても何も言われない」という学習性無力感**が組織全体に蔓延します。

これが、最も恐れるべき**「セキュリティポリシーの形骸化」**です。形骸化したルールは、存在しないよりもタチが悪いのです。なぜなら、「やっているフリ」だけが上手くなり、本当のリスクが見えなくなるからです。

2. 「意識合わせ」としてのポリシー設計

では、警察力(監視・強制リソース)を持たない一人情シスは、どうすればよいのでしょうか。 答えは、ポリシーの目的を「統制(Control)」から**「意識合わせ(Alignment)」**へとシフトさせることです。

「100%守らせること」をゴールにするのではなく、「会社として何をリスクと捉えているか」を共有し、現場との合意形成を図ることをゴールにします。

アプローチの違い

項目 従来の管理型アプローチ 意識合わせ型アプローチ
目的 ルールの遵守 リスク認識の共有
手法 禁止・制限・処罰 合意・推奨・報告
指標 違反数ゼロ 相談数・報告数の増加
スタンス 情シス vs 現場 情シス & 現場 vs リスク

1. 「禁止」ではなく「条件付き許可」を基本にする

IPAのサンプルでは「〇〇してはならない」という禁止規定が多く見られます。しかし、現場がそれを必要としているなら、禁止しても抜け道を使われるだけです。

例えば、「私物スマホの業務利用禁止」ではなく、「パスコードロックをかけ、OSを最新にしている場合に限り、私物スマホの利用を認める」とします。 これにより、隠れて使われる「シャドーIT」を表に出させ、「最低限のセキュリティ設定」というバーター取引を成立させるのです。これは敗北ではなく、管理不能領域を管理可能領域へと引き戻すための戦術です。

2. 「できないこと」は正直に書かない

「全アクセスのログを半年間保存し、定期的に監査する」 IPAのガイドラインにはよく書かれていますが、一人情シスにそんな時間はありません。できないことを書くと、何かあった時に「規定違反(情シスの怠慢)」を問われます。

正直に**「ログは保存しているが、通常時の監視は行わない。問題発生時の原因究明のために利用する」**と書きましょう。 これにより、「見られていないなら不正しよう」という魔が差すリスクは多少上がるかもしれませんが、「見られているはずなのに見逃された」という情シスへの不信感や責任追及リスクは回避できます。等身大のポリシーこそが、信頼の基盤です。

3. 「違反」ではなく「相談」を評価する

ポリシーの中に、以下の文言を必ず入れます。

「業務遂行上、本規定の遵守が困難な場合は、独自の判断で行わず、必ず事前に情報システム担当へ相談すること」

そして、実際に相談が来たときは、絶対に頭ごなしに否定してはいけません。 「面倒なルールを作ってごめんね。でも、ここだけ守ってくれれば、あとは柔軟に対応するよ」という姿勢を見せます。 「規定を守らせること」ではなく、「情シスに相談が来ること」こそが、一人情シスにおける勝利条件です。相談さえあれば、リスクを評価し、代替案を提示し、コントロールすることができるからです。

3. 具体的な「落とし所」の事例

IPAの理想と、中小企業の現実的な落とし所を対比してみましょう。

ケース1:パスワード管理

  • 【IPA/理想】:8文字以上、英数記号混在、定期的(3ヶ月ごと)な変更、過去の履歴は使用不可。
  • 【現実の落とし所】
    • 定期変更は廃止(総務省も非推奨に転換済)。
    • 文字数は「とにかく長く(12文字以上推奨)」。複雑さは求めない(どうせ付箋に書かれるから)。
    • 重要システム(メール、グループウェア)だけは多要素認証(MFA)を必須とし、他は目をつぶる。
    • 全てを守らせるのは無理です。MFAという技術的防壁がある箇所を死守ラインとします。

ケース2:持ち出し制御

  • 【IPA/理想】:許可なき情報の社外持ち出し禁止。PCの持ち出しには上長の書面承認が必要。USBメモリは使用禁止(ポート物理封鎖)。
  • 【現実の落とし所】
    • PCはディスク暗号化(BitLocker/FileVault)がかかっていれば持ち出し自由とする。
    • USBメモリは「会社支給品のみ許可」。私物品を使った場合のウイルス感染リスクを徹底周知する(性善説+教育)。
    • 書面承認なんて運用していたら業務が回りません。「暗号化」という技術的担保を条件に、利便性を開放します。

ケース3:ソフトウェア・クラウド(SaaS)

  • 【IPA/理想】:会社が許可したソフトウェア以外はインストール禁止。ホワイトリスト方式で制御。
  • 【現実の落とし所】
    • PCの管理者権限をユーザーから取り上げるのがベストだが、開発者など抵抗が強い場合は付与する。
    • その代わり、「サポート切れのソフトを使わない」「OS更新を止めない」ことを誓約させる。
    • SaaS利用は「個人情報を入れるなら必ず相談」という一点突破で啓蒙する。

4. 「文化」を作るためのドキュメント

ここまで述べてきた「守らせないポリシー」は、裏を返せば**「従業員の自律性(モラル)」に依存する**比率が高いモデルです。 そのため、ポリシー文書(利用規程)だけでは不十分です。必要なのは、その背景にある「なぜ?」を伝えるコミュニケーションです。

「なぜ」を語る前文(Preamble)を入れる

ポリシーの冒頭に、無味乾燥な「目的」だけでなく、情シスからのメッセージを入れてみてはどうでしょうか。

「当社は皆さんの自律性を尊重し、ガチガチの制限をかけません。その代わり、皆さん一人一人がセキュリティの最後の砦です。クリック一つで会社が傾くリスクがあることを、常に頭の片隅に置いておいてください」

こうした「情緒的」なアプローチは、セキュリティの教科書には載っていません。しかし、顔の見える関係性で仕事をする中小企業においては、数百万円のDLPソフトよりも効果を発揮することがあります。

事故事例を自分事化させる

「IPAの10大脅威」をそのまま回覧しても、誰も読みません。 「もし、君が取引先の請求書だと思って開いたPDFがウイルスで、顧客リストが全部流出して、損害賠償が数億円になったら、ウチの会社は潰れるし、君のボーナスも給料もなくなるよ」 と、生々しく、自分たちの言葉で翻訳して伝えます。

「クビになるから守る」ではなく、「自分の生活(給料)を守るために気をつけよう」と思わせる。これが「意識合わせ」の真髄です。

結論:不完全さを受け入れる勇気

一人情シスのセキュリティ運用において、完璧を目指すことは罪です。 リソースがない中で完璧を目指せば、必ずどこかに歪みが出ます。その歪みは、現場の業務停滞か、情シス自身のメンタルダウンとして現れます。

  1. 守れないルールは作らない。
  2. 技術で担保できる部分(MFA、ディスク暗号化、OS自動更新)は強制する。
  3. それ以外は「相談推奨」という形で現場の良識と握る。

この3原則を軸に、「60点のセキュリティ」を継続的に運用すること。 IPAのガイドラインを読みながら、「ウチではこれは無理」「ここはこれくらいで勘弁してもらおう」と赤ペンを入れていく作業。 その「引き算のプロセス」こそが、貴社の身の丈に合った、最強のセキュリティポリシーを生み出すのです。

かっこいいポリシーなんて要りません。 誰も読まない100点満点のPDFより、 全員が「なんとなくヤバいことは相談しよう」と思っている60点の現場の方が、 現実に起こるインシデントには強いのです。

AIに相談するためのプロンプト(テンプレート)

「守らせる」ための無機質なルールブックではなく、「協力してもらう」ための人間味あるメッセージを作成するためのプロンプトです。

あなたは組織文化の変革を得意とするコミュニケーション・デザイナー(兼セキュリティ担当)です。
「禁止事項だらけ」のセキュリティポリシーを廃止し、「現場との信頼関係」をベースにした新しいガイドラインを全社に発表しようとしています。
記事にある「意識合わせ(Alignment)」の思想に基づき、社長(または情シス部長)から全社員に送る、心に響く「所信表明メッセージ」を作成してください。

# 伝えたいメッセージの核
*   「今までガチガチのルールで縛ろうとしてごめん」
*   「これからは細かいことは言わない(性善説)。だけど、クリックするその指が会社の命運を握っていることだけは忘れないでほしい」
*   「迷ったら隠さずに相談してほしい。怒らないから」

# ターゲット(読み手)
*   [例: ITに詳しくない営業担当、工場長、など]

# 出力してほしい内容
1.  **Slack/メールでの全社通知文**: 「ポリシーが変わります」という事務連絡ではなく、読んで納得感のあるエッセイ風の文章。
2.  **「相談してね」キャンペーンのキャッチコピー**: 気軽に情シスにセキュリティ相談ができるような、社内ポスター用の標語。
ホームに戻る