2026年は「やらない不安」より「やる安心」を（439号）

2025年の年末に、電車に乗っていると、随分と古い写真の吊り広告が目に入りました。
なんでも、阪神電鉄が120周年、南海電鉄が140周年というキャンペーンをしているようでした。

その写真を見ながら、昔も今も人の営みって変わらないな、と思ったのです。
昔の人も、楽しみつつ、悩みつつ、手探りしながら、今を創ってきた。
今の人も、同じように楽しみつつ、悩みつつ、未来を創っていく。

今回は、いつもとちょっと違った切り口でセキュリティ対策の取り組み方についてお話します。


1. セキュリティ対策の二つの顔

セキュリティ対策が大切であることは、今更言うまでもありません。

セキュリティ対策は大きく二種類に大別できます。
　・技術的な対策（テクノロジ）
　・組織的な対策（コントロール）

一般には、セキュリティ対策＝技術的対策となるケースが多いので、組織的な対策なんて大したことはないと考えてしまいがちです。

ですが、具体的な事例で考えると、その発想が実に危ういことに気付きます。

例1：USBメモリの扱い
　利用禁止なのに、一部社員が違反しており誰も指摘しない

例2：ノートパソコンの社外持出し
　持出し禁止なのに、プレゼン用の持出しは暗黙の了解。
　
例3：重要情報の放置
　顧客から預った厳秘資料の原紙がコピー機に放置。

例4：フィッシングメール
　メールのリンクを誤ってクリックしても、報告先がわからない。

これらはいずれも、コントロール（統制）が不適切な事例です。

つまり、セキュリティ対策を、技術（テクノロジ）面だけで対処するのは、片手落ちで、統制（コントロール）や管理（マネジメント）も重要だ、というあたりまえの話です。


2. 統制というと大層ですが

統制という言葉はかなり重くて大層ですが、それほど大したことではありません。

要は、禁止事項はちゃんと守ってもらう、何かあった時にはちゃんと連絡する、といった組織としてあるべきルールを定めるだけの話です。

メンバ全員に周知できているのであれば、方法は何だっていいのです。

ルールというと、固くて読みにくい文書をイメージする方も多いでしょうが、そこは組織文化で、異なるのは当然です。

数人の会社なら「わからんかったら、社長に報告してね」で十分かもしれません。

数十人規模になると、口頭だけでの指示では危うさが生じます。
人によって、聞いた、聞かない、覚えてない、といったケースが生じるからです。
こうなると、文書化は避けられません。

数百人規模になると、単に文書を作るだけでなく、どれが最新なのか？を知る手段としての文書管理、全員が周知している状態を維持するための教育と受講者管理、といった副次的なルールも必要になるのも自然な話です。

ちょっと余談となりますが、この統制って、財務や営業の分野では皆さん、ほぼ無意識の「常識」としてやってることばかりなんですね。
ITの分野になると、いきなり「IT統制！」「○○禁止！」となりがちですが、筆者の考える中小企業向けの統制というのは「これくらいは決めとかないと困るよねー」くらいのユルいものです。
財務や営業と同様に「常識」の延長で十分機能すると思います。


3. 最新技術の知識は必要か？

一般に、技術はどんどん進化します。それに追いつくだけでも大変です。

筆者のような技術屋からすると歯がゆい思いはぬぐえませんが、一般の方が「いや、もうコレ、無理やで。サッパリわからんし」となるのも、理解できます。

だからといって、「もう、無理やから、やーめた」ともいきません。
現代のIT機器は好むと好まざるに関わらず、インターネットと無縁ではいられません。

残念ながら、IT機器の統制や管理では「君子危うきに近よらず」はできないのです。知らないうちに近付いてくるのがサイバー攻撃ですから。

でもですね、それほど恐れることはないのですよ。

組織リーダが技術の隅々まで理解する必要なんてないのです。
ただでさえ、忙しい人がそんなことに時間を割く必要はありません。

それでも、理解しようとする姿勢は必要です。
何らかの技術的な対策の必要性について、その是非をジャッジできないと、結局困るのはリーダ自身だからです。

「こいつの言うことだから信用する」も悪くない選択と思いますが、「こいつの言ってることはスジが通ってるから信用する」の方が、より安心ですよね。

リーダに求められるのは、技術の詳細を知ることではなく、担当者が提示してきた組織を守る手法の中から最もスジの良さそうな、費用対効果の見込める選択を行うことなのですから。

これも余談ですが、デジタル大臣に対して、「こんなことも知らないデジタル音痴」といった言説が話題になった時期がありましたよね。あれなどはリーダが備えるべき資質を見失なった不毛な議論だと筆者は考えていました。


4. 今からでも遅くない

「四十の手習い」という言葉があります。
自虐的に使う場合もあるようですが、筆者は「何を始めるにしても遅すぎることはないんだ」という超ポジティブな言葉と考えています。

これって、セキュリティ対策にも大いに言えることです。

「今まで何もしていないのに、今更なあ」、なんてことは全くありません。
今まで被害を受けずに済んだ強運に感謝しつつ、できることを、無理せず、一歩一歩進めてください。

セキュリティ対策に近道はありません。地道に一歩づつ進めるしかありません。
技術的な対策にしたって、高価な機器を買えば解決とはいきません。
むしろ、高価な機器ほど、運用に手間と労力が必要だったりします。

例えばUTM装置（アプライアンス）という侵入検知に便利なネットワーク機器があります。
そのUTM装置では、多くの場合、何らかの侵入などを検知した時に、通報をしてくれるサービスがあります。
でも、そのサービスは基本的には、「通報まで」です。

実際に侵入され、トラブルが起きたとします。
でも、こういった通報サービスでも、サイバー保険でも、
　→復旧はしてくれません。
　→取引先への説明はしてくれません。
　→記者会見は代行してくれません。
　→（残業等による）社員のメンタル管理はしてくれません。

どれも自分達で判断して、自分達で作業をするしかないのです。

特に技術を伴わない組織内の統制への取り組みなら、誰でもできます。
もちろん、専門家に入った方が心強いのは事実ですが、推進するのは、やはり自分達しかいないのです。

やることは、それこそ山のようにあります。
だからこそ、「あきらめない」けど「がんばりすぎない」が効くのです。


5. まとめ

2026年の最初の「がんばりすぎないセキュリティ」はいかがだったでしょうか。

最近は、企業のルール作りを伴走支援する仕事を依頼いただく機会が増えています。
今回書いたような統制のための文書づくりです。

今回は、文書化については、あまり触れていませんが、世の大半の中小企業は文書化の習慣がありません。
社員さんの知見や暗黙知に頼っているのですね。実際のところ、社員が少ない間は問題にならないことが多いのです。

ところが、一部担当者に業務が集中してしまい、業務が滞りがちになると大きな問題になります。
業務手順書や説明書があれば、他の人もスグにお助けに入れますが、なかなかそんな文書づくりまで手が回らないのが実際のところ。
こうなると、お助け要員への業務説明をするしかなく、（短期的には）ますます業務が滞ります。ここで、文書化の重要さに気づくというのが定番です。

今回は、まず始めることの重要性をお伝えするため、文書化にはあまり触れませんでしたが、今は要らないとしても、「文書化」をキーワードとして頭の片隅に置かれることをおすすめします。

今回は、セキュティ対策の考え方についてお話しました。
次回もお楽しみに。

今日からできること：
　・セキュリティ対策は地道に一歩一歩進めましょう。
　・ルールを効率良く周知する方法を常日頃から考えましょう。
　・細かい技術の話よりも、ジャッジできる人を育てましょう。

（本稿は 2026年1月に作成しました）