経営者はどの程度セキュリティに気を付けるべきか
目次- 西村工場長は、どんなセキュリティ対策をしているか
- パスワードの複雑化は本当に必要?
- プライバシーマークは取得するべきなのか
- 公共の場で仕事をするべきではない?
- 内部からの情報漏えいは、セキュリティ面だけが原因とは限らない
- コロナウイルスによるLCCへの影響
読むポッドキャスト 第96回「西村豪庸の『社長工場』」
ナレーターやまだひさし
「西村豪庸(にしむらひでのぶ)の『社長工場』」!!
こんにちは、やまだひさしです!
ポッドキャスト番組、西村豪庸の社長工場では、インスタイルグループの代表を務める経営コンサルタントの西村豪庸さんが、ビジネス、経営に関することを独自の視点で解説していきます。
西村さん本日もよろしくお願いします。
工場長西村豪庸
お願いします。
ナレーターやまだひさし
今日のテーマは「経営者は、どの程度セキュリティに気を付けるべきか」です。
コロナウイルスの影響で、会社のパソコンを家に持って帰って仕事をする人も増え、最近ではカフェで仕事したり、社員ではないフリーランスの個人と仕事をするなんていう、自由な働き方が増えてきました。
こうなってくると、セキュリティの面において、個人情報の流出などのリスクが増加してくるわけです。
2014年に、子ども向け通信教育サービスの企業にシステムエンジニアとして務めてた派遣社員が、故意に個人情報を盗み出したというニュースがありました。
流出した個人情報は3500万件以上に上り、この会社は顧客への謝罪として200億円近い原資を準備、謝罪の物品や受講費の減額を行い、セキュリティを強化しなかったことに対する代償として、相当な痛手をくったわけです。
工場長西村豪庸
この派遣社員を逆さに振ったって、200億円は出せないだろうしな 笑
ナレーターやまだひさし
一生かけたって稼ぎ出せない額ですからね。
他にもメールの誤送信や、USBメモリの紛失、パソコンの盗難、サイバー攻撃による不正アクセスなど、セキュリティリスクはあらゆるところに潜んでいるのでキリがないです。
かといって、そのリスクをなくすためにセキュリティを強化すると、コストもかかるし、リモートワークをしろと言う割には、会社に行かない限りメールを送れないという本末転倒なことが起こるなど、働き方の自由度も下がっていきます。
工場長西村豪庸
こういう本末転倒なセキュリティの話、本当に多いですよね。
昔、ノートパソコンが万引き防止みたいなワイヤーで机にくくりつけられて、USBも挿せなくなってる会社を見たことあるんですけど、その会社、クラウドがフリーアクセスだったんです 笑
USBを禁止されてるからマウスさえ使えないのに、クラウドはだだ漏れで、アップロードもダウンロードもしまくれるんですよ。
ナレーターやまだひさし
使う側のリテラシーが上がってないから、未だにそれが正しいセキュリティと思ってる人もいるわけですね。
西村工場長は、どんなセキュリティ対策をしているか
ナレーターやまだひさし
セキュリティ対策といえば、パソコンにパスワードを設定するとか、ファイルを送るときはZIPに変えて、さらにパスワード付けて送るとか、ログインのパスワードを使い回さないとか、いろいろありますけど、ヒデちゃんはセキュリティには気を付けてますか?
工場長西村豪庸
どうですかね…
この質問には具体的に答えないというのが、一番のセキュリティだと思うんですよ。
ナレーターやまだひさし
社員に、特別何かを徹底させているというわけでもないですか?
工場長西村豪庸
一応、うちのルールはありますよ。
「このツールを使おうね」っていうセキュリティレベルはありますけど、言わないのがセキュリティだから言いません 笑
ナレーターやまだひさし
そういうのをヒントとして言うだけでも、確実にセキュリティが漏れているということになりますもんね。
先ほど挙げた会社のように個人情報が流出なんてことになると、損害賠償だったり会社のイメージがダウンしたり、すごくダメージが大きいと思うんですが、セキュリティの強化をしすぎても自由度がなくなり、コストもかかるので痛し痒しですよね。
経営者は、セキュリティをどの程度意識しておかなければいけないんですかね?
工場長西村豪庸
やれるだけやっておくに越したことはないけど「全部できねえな」ってなっても困りますから、難しいですよね。
ふわっとした答えで申し訳ないけど「自分で気をつけられるだけ気をつけな」としか言えないですよね。
ナレーターやまだひさし
ヒデちゃんは、セキュリティを厳重にしているものってありますか?
工場長西村豪庸
クライアントの機密情報は、やっぱり厳重に扱っていますね。
ナレーターやまだひさし
保管場所やパスワードを、忘れちゃったこととかはないですか?
工場長西村豪庸
ないです。
ナレーターやまだひさし
それは、どこに入ってるんですか?
工場長西村豪庸
それをセキュリティだって言ってるんだけど、このDJは聞いてたのかな 笑
ナレーターやまだひさし
誘導尋問に引っかからないな 笑
パスワードの複雑化は本当に必要?
ナレーターやまだひさし
パスワードのランキングのトップは、未だに "123456" だそうですよ。
工場長西村豪庸
不動の1位だそうですね。
ナレーターやまだひさし
今でもダントツらしいです。
小文字のアルファベットで "password" とか、誕生日とか、未だにこういったパスワードを使ってる人が多いそうなのですが、もし経営者がこういうパスワード使ってたらどうですか?
工場長西村豪庸
でも、Microsoftのセキュリティチームに勤務するアネックス・バイネルト氏は「パスワードについての言説は誇張されたものが多く、実際にはパスワードの長さや複雑さはそれほど重要ではない」って言ってます。
ナレーターやまだひさし
そうなの?
工場長西村豪庸
「パスワード 複雑化 無意味」とかでググると「セキュリティ専門家がパスワードの複雑さはそれほど重要ではないと主張するのはなぜか」という記事が出て来ます。
ナレーターやまだひさし
パスワードを難しく、複雑化すればするほど自分も忘れてしまいますからね。
僕も、何度パスワードの再発行をいろんなサイトでお願いしているか。
工場長西村豪庸
俺も、引っ越しを数十回してるから分かりますよ。
カスタマーサポートで
「本人確認のため、登録のご住所をお願いします」
って言われたときの絶望感ですよ。
「ちなみに何区の住所か、教えてくれるんですか?」
「それは、言えないことになってます」
って言われたので、記憶を頼りに10個ぐらい住所を言ってったんですけど、向こうも15個目ぐらいで根負けして
「西村さま、港区で他に思い当たる住所はございませんか?」
とか言われたりして、言えるんじゃねーかよ! みたいな経験もあります。
ナレーターやまだひさし
もっと違う方法で本人確認を取れないもんですかね。
プライバシーマークは取得するべきなのか
ナレーターやまだひさし
取引先によっては「個人情報を厳重に管理してる会社じゃないと、取引ができない」なんていうところも、あるらしいですね。
工場長西村豪庸
「決まりなんで、Pマーク(プライバシーマーク)を取ってください」って言われるの、僕も死ぬほど経験してます。
ナレーターやまだひさし
コンサル先でも、Pマークを取得してるところがあるんですね。
工場長西村豪庸
逆に、そんなところばっかだと思いますよ。
ナレーターやまだひさし
Pマークを取るのってすごく大変だって聞きましたけど、どうなんですか?
工場長西村豪庸
Pマーク専用のコンサルタントにいくらか払って
「ここに壁立てて、扉つけて、入外出管理して、データ管理はこれ、顧客情報これ、金庫にこれしてね、あれしてね…」
って言われてやるんですよ。
上場企業とかだと、それをやらないと
「形式基準を満たしてないんで」
って言われたりします。
ナレーターやまだひさし
仕方ないからこっちも「分かった、取りますよ」ってなるんですね。
工場長西村豪庸
こういう形式基準にうるさいところって、形式基準を過剰に求めてくるところあるじゃないですか。
例えば飲食なら、とりあえず保健所で1日研修を受けて、食品衛生管理責任者の手帳だけあればいいのに「調理師免許はなんでないんですか?」みたいなことも、結構あるんですよ。
もちろん片方だけがしっかり守ってても、向こうがザルだったらしょうがないから「この資格取れてるくらいだから、最低限ちゃんとしてるのね」って、安心して取引したい気持ちもあると思うんですけどね。
ナレーターやまだひさし
大きな規模間の取引とかの場合、Pマークはマストになっていきそうな流れですか?
工場長西村豪庸
年商10億円ぐらいで、顧客が5万人、10万人っている状態になったら、ほぼマストで言われますから対応した方が良いと思いますよ。
生命保険の金額が健康診断で左右されるのと一緒で「Pマークちゃんと取ってますか?」みたいなの、聞かれますから。
ナレーターやまだひさし
対策してないとなると、それだけで会社の信用も失墜するし「そんなところをケチってるから、こうなったんだ」とも、なりかねないからね。
公共の場で仕事をするべきではない?
ナレーターやまだひさし
電車の中で、パソコンを広げて普通に見積もり作ってる人とか、グラフの資料見ているサラリーマンがいて、情報漏えいしようと思っていなくても、見ようと思えば見えちゃうこともあるじゃないですか。
工場長西村豪庸
背後とか横から見えたりしますよね。
僕は飛行機の中で仕事はしますけど、クライアントの資料を開いたり見られちゃまずいような仕事はしないので、どっちかというとクリエイティブな仕事や考え事をしてます。
ビジネスクラス以上の飛行機に乗る代わりに、乗っている時間でビジネスクラス以上の飛行機代を稼ぐって決めてるんですけど、そういうときは例えばFXのトレードの画面を開いたり、社長とか社員とか商品のことを思い浮かべながらクリエイトしたり、コンサル先のことを考えるときも、資料を開けるんじゃなくて「A社にBっていうことをしたらいいかな」っていうことを頭の中で考えたり、メモするくらいです。
ナレーターやまだひさし
見られちゃまずい仕事は、当然そんなパブリックな場所でやるわけないでしょってことですね。
工場長西村豪庸
というのは、ビジネスかファーストかどっちか忘れましたけど、飛行機の中で自分の右前に座っている仲良しの社長が、うんうん唸りながらノートに書き散らかしてるわけです。
最終的にカバンの中から赤ペンを取り出して「よし、これでいこう!」って言いながら、ノートの見開き1ページの右側に、赤字で丸付けて「72億!!」って書いてるんですよ。
「そういえばあの人、来週あの会社にオファーするって言ってたな」
って思って、
「いくら仲の良いヒデちゃんでも、金額まではさすがに言えないんだけどね」
なんて言ってたのに
「あれ絶対、M&Aのオファー金額だな」
って分かっちゃったことがあります 笑
ナレーターやまだひさし
そこの会社は、Pマークついてたんですか?
工場長西村豪庸
分かんないですけど、ついてたと思いますね。
ナレーターやまだひさし
ついてたとしたら、もう意味ないじゃないですか 笑
内部からの情報漏えいは、セキュリティ面だけが原因とは限らない
ナレーターやまだひさし
仕事がどんどんテレワークになっていった分、セキュリティ面が手薄になっている人たちが多いですよね。
ノートパソコンを電車に忘れたとか、USBメモリを落としたとか、あると思うんですよ。
工場長西村豪庸
難しいですよね。
どんどん自由度を奪ってセキュリティを徹底しても、やるやつはやるし、外に対してのセキュリティをフルパワーであげたところで、内部からの悪意に対しては無防備じゃないですか。
ナレーターやまだひさし
内部に入り込んでる以上、ある程度は信頼しているからね。
工場長西村豪庸
だから、難しいですよね。
情報をお金に例えると分かりやすいんですけど、お金は当然盗まれないほうがいいし、例えば金庫に入れておくとか、大事に管理しなきゃいけないじゃないですか。
盗まれないようにするというのは2つの意味で大事だと思ってて、一つは、そもそも人間ってそんなに強くないので、目の前にセキュリティが甘くて、盗んでも絶対にばれないお金が山ほど積まれていたら、盗っていかない方が奇跡だと思うんです。
だから、それを前提として考えてあげなきゃいけないくて、大事だし好きだから社員として一緒にやってるわけなのに、そいつに後ろめたい思いをさせたり、犯罪者にするきっかけを与えちゃったら良くないじゃないですか。
情報って、場合によってはお金以上の価値を持つことだってあるわけだから、お金の管理を徹底するのと同じようにできることは全部やっておいて、アクセスできる人が限定されているから誰がやったか分かってしまうとか、そういう状況を作っておくのってお互いのためでもあると思うんです。
工場長西村豪庸
一方、故意に盗んだ場合は、社長への好感度のパラメータでもありますよね。
結局、良いと思っている店でなかなか万引きができないのと一緒で、良いなと思ってる会社の情報を、故意に漏えいしてやろうって思わないじゃないですか。
以前、派遣社員の回で話してましたけど、派遣社員はウォーターサーバーの水を飲んじゃいけないとか「そんなことしてっから嫌われて、情報漏えいしたんじゃねえの?」って思っちゃったりするんですよ。
ナレーターやまだひさし
原因は、セキュリティ面のことだけじゃないぞっていう話だよね。
工場長西村豪庸
だから難しいところではあるけど、とにかく内側からのハックには本当に弱いですよね。
ナレーターやまだひさし
セキュリティを強化すると、日々の環境や社員との関係性だったり、同時に違うものまで見えてくるから、そういった点では良い気付きになりますね。
この間、僕とヒデちゃんの共通の知り合いの某有名な人から、某コンペのメールの誤送信がありましたよね。
工場長西村豪庸
ありましたね。
俺はちゃんと、メールは消しましたよ。
ナレーターやまだひさし
衝撃でした。
でも、その人のただの操作ミスであって、セキュリティでどうにかできるものじゃないんで仕方ないですよね。
工場長西村豪庸
もちろんゼロにはできないから、それをどうするかじゃないですか?
ナレーターやまだひさし
例えば、AIを使って「本当に、その送信の仕方でいいんですか?」みたいなアラートを出すくらいできるかもしれないですよね。
工場長西村豪庸
G-mailでも「添付って言葉があるけど、添付ファイルがないよ」とか、アラートが出ますからね。
それで防げるものもいくつかあるけど、ああいうのはゼロにはできないですからね。
コロナウイルスによるLCCへの影響
ナレーターやまだひさし
さっき飛行機の話が出ましたけど、今は日本の国内航空の会社も「合併するんじゃないか?」って噂が流れるくらい、やばいらしいんですよ。
工場長西村豪庸
ANAとかJALとかでも、1兆円単位でお金を借りるみたいな話を聞きますもんね。
ナレーターやまだひさし
大手でさえそんな状況なのに、LCCは客席がガラガラの状態で飛行機を飛ばしていたりして、これは大丈夫なんですか?
工場長西村豪庸
いや、大丈夫じゃないですよ。
LCCはそもそも、いかにコストを削減して詰め込んで、バシバシ飛ばすかっていう薄利多売のビジネスモデルですから、たぶん今後いくつか潰れていきますね。
LCCに限らず、飛行機を飛ばさなきゃいけない理由があって、空港の離発着ってテレビ波みたいに割り当てが決まっていて、空港に一日何回離着陸していいっていう枠があるんです。
その枠をちゃんと消費して、ノルマを達成しておかないと「次からお前のところに割り当てないよ」って言われちゃうから、離発着の枠を埋めなきゃいけないんですよ。
だから、LCCにしろ普通の航空会社にしろ、今は飛ばしたくはないけど、枠を埋めるために仕方なくゴーストフライトを飛ばしてるんです。
ナレーターやまだひさし
赤字覚悟で飛行機を飛ばしてるのは、そういう理由なんですね。
工場長西村豪庸
ゼロにすると、次からそこを使えなくなっちゃうんで。
ナレーターやまだひさし
でもこれって、コロナが流行しているこんな状況なんだから、今回ノルマはなしみたいにならないもんなんですかね。
工場長西村豪庸
今まさに、その話が出てきてますね。
ナレーターやまだひさし
潰れちゃうLCCとか出てきちゃうと、それはそれでまた大変ですからね。
工場長西村豪庸
そうなんですよね。
小さいところを大手が買うと、競争原理がどんどん働かなくなりますからね。
ナレーターやまだひさし
薄利多売のビジネスモデルも、これからは相当気を付けないといけなくなるんですか?
工場長西村豪庸
薄利多売のビジネスは元々厳しいから、僕はやりませんってずっと言ってるじゃないですか。
ナレーターやまだひさし
確かに、ヒデちゃんのところではあんまりそういうビジネスモデルを推進してないね。
それだけリスクが多いんですね。
工場長西村豪庸
薄利多売のビジネスって、そもそも大企業しかできないんですよ。
だから、薄利多売のビジネスじゃない代わりに付加価値をつけてかなきゃいけないんですけど、日本は清潔で親切でインフラも整ってて、しかも安いから、美味い飯を出すとか良いサービスを提供するとか、リアルの場で付加価値をつけることがある程度簡単だったわけです。
だけど今後、もしかしたらコロナと一緒に生きてくことになるって考えたとき、インターネット上だと付加価値がものすごく付けづらいんですよね。
ナレーターやまだひさし
変に削がれちゃっている分、難しいですよね。
工場長西村豪庸
付加価値の余地がないというのは、この間のテレワークによって雑談がなくなるっていう話と一緒で、Amazonは本屋と違って能動的なメディアなわけですよね。
Amazonだと、自分が何かを探しているときにセレンディピティがないというか、レコメンドエンジンが多少機能してても、今までの自分の行動とビッグデータによって出されたレコメンドなんで「こんな本が出てるんだ!」みたいなことはあんまりないんですよ。
素晴らしい機能だと思う反面、極端な話ですけど、僕にビジネスの本とか車の本が突然紹介されることはあっても、いきなり盆栽の本が紹介されることはないわけですよね。
でも本屋で盆栽の本を見て、突然「盆栽がめちゃめちゃかっこいいな…」と思うかもしれないじゃないですか。
ナレーターやまだひさし
新しいやつらからの、とてつもない意見だったり「なんだこいつ」って思うような出会いとか、そういうものがどんどんなくなってきてますよね。
次に進むためには、実はそういう出会いが重要だったりするし、好きな人間に会うだけじゃなくて、嫌いな人間に会うのも実は大事だからね。
今日のこの話も尽きませんけれども、僕のような旅をする人間にとって、LCCにはなんとか踏ん張ってほしいし、ちょっと傾いて危険なときには一度ヒデちゃんに相談してもらって、早くインスタイルグループでLCCを持ってもらいたいと思っています!
工場長西村豪庸
笑
工場長西村豪庸
ありがとうございました。