自分が所属する組織のセキュリティレベル。5段階で5を最上として表現するとしたらどのくらいでしょうか?
5は言い過ぎ?では4くらい?意識が高い人も居ることは居るけど全体を見ると3が良いところ?
セキュリティの専門家は心配性で、組織のレベルを見るときは全体の平均を見るのでは無く最も弱いところを見ろ、と言います。組織のメンバーはお互いに繋がっている(リンクされている)=相互に協力しあって仕事をしているので、その繋がりのネットワークの中の最も弱いところがその組織のレベル。それをWeakest Linkという言葉で表現しますね。確かにそのとおりで、100人のうち99人が素晴らしいセキュリティ意識を持って抜かりなく仕事をしていたとしても、1人がちょっと迂闊だったら事件や事故に繋がる可能性が非常に高くなります。
そして悪者は今、その迂闊な1人を狙っています。そして迂闊さというものは誰の中にもあり得るものですし、人間はミスと無縁ではいられません。つまり誰もがその1人になってしまう可能性がある、ということです。事件や事故は起きる前提で備えておく必要がある、と言われる所以です。教育によって迂闊さがあらわれてしまう確率を下げながらも、教育効果を絶対視せずに迂闊さが発現したときに備えておく、というのが現実的な解でしょう。そして、実態が掴みづらく目標設定も難しい、人間というものの性質上非常に困難であるとも言える、迂闊さをゼロにするための教育(の内容を作ること)よりも、現実的に起きている事件や事故をベースにしたリアリティのある訓練で具体的な手順や考え方を染みこませておくことを目的にする方が、教育的効果が高い内容を作りやすい、とも言えます。
組織のセキュリティレベルというものを気にするくらいなら、事件事故対応体制(CSIRT)のメンバーの練度の方を気にした方が良いのではないでしょうか。
