情報セキュリティは非常に大切ですが、一方で、過剰な情報セキュリティは、イノベーションを阻害するどころか、オペレーションも阻害します。
サイバーセキュリティの領域では、CSIRTのコミュニティなど、だんだん個別企業での取り組みからコミュニティでの取り組みへと変わってきているようです。どうしても限界はあるけれど、最善を尽くされている会社も多いと思います。
一方で、全体的な情報セキュリティという観点で見ると、セキュリティの過剰化を防ぎながら、高水準のセキュリティを維持するためには、組織メンバーひとりひとりが当事者としてセキュリティについて日常的に取組むことが大切で、その意味で、セキュリティ部門は個別事象への対話的な取り組みが必要だと言えます。
実際、そうした対話的な取り組みを重ねている企業は過剰化が防ぐことが出来、一律の運用を実施する企業は、こうした問題が起きるたびにより厳しい水準になってしまいます。とはいえ、そういった知見がまだ確立されていないため、別に不真面目に仕事をしているわけではない担当の方々も、やむなく厳しくせざるを得ず、対応に苦慮しているように感じます。
この問題は、実は大手企業を密かに蝕む大問題だと思っています。