セキュリティは、上から崩れている

パスワードを使い回してはいけない。誰でも知っている。

同じパスワードを複数のサービスで使えば、ひとつが漏れたときに、別の場所まで危なくなる。退職者のアカウントを残したままにすれば、誰がその入口を使うか分からない。共有アカウントを放置すれば、責任の所在は曖昧になる。

それでも、企業の中では使い回しが続いている。しかも、本来セキュリティ対策を主導するはずの意思決定層ほど、その傾向が強い。

ここに、まだ名前のないずれがある。

セキュリティは、しばしば現場の問題として扱われる。社員の意識が低い。情シスの管理が甘い。ツールが導入されていない。教育が足りない——もちろん、それは一部正しい。

けれど、本当に問うべきなのは、誰がそのルールを守る姿を見せているのか、ということかもしれない。

経営層がパスワードを使い回す。管理が面倒だから、ツールを入れない。現状で問題が起きていないから、後回しにする。退職者や異動者のアカウント管理が属人的なまま残る——その状態で、現場だけにセキュリティ意識を求めるのは難しい。

セキュリティは、仕組みである前に、組織の習慣である。そして習慣は、上から崩れる。

パスワード管理ツールを入れること自体は、難しい話ではない。MFAを入れることも、SSOを整えることも、権限管理を見直すことも、技術的にはすでに選択肢がある。

それでも進まない。なぜなら、問題はツールの不在だけではないからだ。

便利さ。忙しさ。面倒くささ。自分だけは大丈夫という感覚。経営層には例外があるという空気——そうしたものが、セキュリティの穴になる。

ここで必要なのは、もう一つの管理画面ではない。

Executive Security Ritual Protocol——経営層セキュリティ儀式プロトコル。

それは、経営層がセキュリティを「指示する側」に留まらず、自分たちの日常行動として実行し、見せ、更新するための仕組みである。

どのツールを使うのか。どのアカウントを共有しないのか。退職・異動時に誰が止めるのか。経営層自身が、いつパスワード管理を見直すのか。例外を誰が承認し、いつ消すのか。事故が起きる前に、どのリスクを会議体で確認するのか——それは、情シスの細かい運用ではない。

会社が何を面倒くさがり、どのリスクを軽く見て、どの行動を当たり前にするのかを決める、経営の Decision Stackである。

Trust OS の視点で見れば、信頼はセキュリティポリシーに書かれているだけでは足りない。従業員は見ている。

上の人が本当に守っているのか。例外が放置されていないか。面倒なことを現場だけに押しつけていないか。退職者のアカウントが、いつまでも残っていないか——信頼は、パスワード管理ツールの導入率だけでは生まれない。守るべき人が、守っていることから生まれる。

だから、急いで製品化しない方がいい。早く仕組みにすると、またパスワード管理ツールの販売になる。セキュリティ研修になる。チェックリストになる。経営層向けリスク診断になる。

もちろん、それらは必要である。でも、それだけでは足りない。

本当に必要なのは、セキュリティを現場に守らせることではない。経営層が、自分たちの便利さをどこで止めるのかを決めることである。

市場は、たぶんその後に生まれる。いまはまだ、HOLDでいい。

まずは、会社の中で一番権限を持つ人が、一番危ない使い方をしていないかを見直すところから始めればいい。

セキュリティは、下から破られるとは限らない。上から、静かに崩れていることもある。

SHIRO & Co.


Published - 20260707