前回はエムオーテックス（MOTEX）の「LanScope（ランスコープ）」シリーズを例に、情報漏洩に対する考え方が「禁止から抑止」へと変わってきていることを紹介した。今はまだ例は少ないが、今後はこの考え方がセキュリティの主流になるだろう。なぜ、そう言えるかというと、セキュリティの「現場」がそうなることを望んでいるからである。（コンピュータソフトウェア著作権協会（ACCS）　専務理事　久保田裕）

　企業のセキュリティ担当者と話をする機会は多い。彼らに「セキュリティで一番大切なことは？」と聞くと、たいてい「社員の協力」という答えが返ってくる。「どんなに優れたセキュリティシステムを導入しても、社員の協力が得られなければ効果は上がらない」というのである。

　そこで、セキュリティの担当者は説明会を開いたり、マニュアルを配布したりと、いろいろと苦心しているわけだが、従来の「禁止」型のセキュリティシステムでは、なかなか社員の協力を得るのが難しいという。「むしろ、社員から反発を買うことの方が多い」という人も多い。

　なぜ、反発を買うのか。これには大きく2つの理由がある。1つは、禁止型のセキュリティシステムが社員の自由を制限するものだからである。確かに自由を制限されることを喜ぶ人はいない。

　もう1つは、その思想である。禁止型のセキュリティシステムは「社員性悪説」に基づいている。「性悪説」は言い過ぎかもしれないが、「社員のなかに悪意をもった人がいる」ことを前提につくられているのは確かである。実際にそういう人もいるのだろうが、大多数の社員はそうではない。ある企業のセキュリティ担当者は、「協力を呼びかけても、『私は関係ない』という人が出てきて、セキュリティが徹底できない」と話していた。

　軍需産業など「敵」が存在することが明らかなところでは、確かに「性悪説」に基づいたセキュリティシステムも必要だろう。しかし、一般の民間企業はそうではない。「そこまでやる必要があるのか」という声が必ず出てくる。そうなっては、どんなにそのシステムが優れていても効果は上がらない。

　LanScopeシリーズが成功したのは、単にその機能が優れているからではなく、セキュリティの現場が「これなら社員、職員の協力を得ることができる」と考えたからといえる。