―「守りたい」と「使わせたい」の板挟み―

中小企業の情報システム部（情シス）は、常に難しい立場に置かれています。
それがいわゆる**「セキュリティジレンマ」**です。

セキュリティを強化すれば業務が止まる。
業務効率を優先すればリスクが高まる。

この相反する要求の狭間で、情シスは日々判断を迫られています。

---

セキュリティジレンマとは何か

セキュリティジレンマとは、
「安全性を高めるほど利便性が下がり、利便性を高めるほどリスクが増す」
という構造的な矛盾を指します。

例えば、

• パスワードを厳格にすれば、ログインできない問い合わせが増える
• USBや私物端末を禁止すれば、現場の作業が滞る
• VPNを強制すれば、「遅い」「つながらない」という不満が噴出する

どれも「正しい判断」であるにもかかわらず、結果的に情シスが責められやすいのが特徴です。

---

中小企業の情シスあるある①

「情シス＝IT何でも屋」問題

中小企業では、情シスが少人数、場合によっては1人情シスというケースも珍しくありません。

• PCの初期設定
• ネットが遅いという相談
• 業務システムの選定
• セキュリティ事故対応
• なぜかExcelの使い方相談まで

本来は戦略的にITを考えるべき立場でありながら、日常業務に追われ、守りの対応だけで手一杯になりがちです。

その結果、「本当は危ないと分かっているが、止められない」という妥協が積み重なっていきます。

---

中小企業の情シスあるある②

「事故が起きるまで評価されない」

セキュリティは、何も起きないことが成果です。
しかしこれは裏を返すと、「平時は評価されにくい」ということでもあります。

• 何年も事故が起きなければ「何もしていない」と見られる
• 事故が起きた瞬間、「なぜ防げなかったのか」と責任を問われる

この構造が、情シスを過度に保守的にし、現場との対立を深める原因にもなっています。

---

中小企業の情シスあるある③

現場「便利にしたい」vs 情シス「守りたい」

現場は言います。

• 「個人のスマホの方が早い」
• 「無料ツールの方が使いやすい」
• 「今すぐ使いたいから申請は後で」

一方、情シスは考えます。

• データはどこに保存されるのか
• 退職者が出たら管理できるのか
• 情報漏洩時に説明できるのか

この価値観のズレこそが、セキュリティジレンマの正体です。

---

ジレンマを悪化させる「中小企業特有の事情」

中小企業では、

• IT専任人材が少ない
• 予算が限られている
• 経営層がITに詳しくない

といった事情が重なり、「理想的なセキュリティ設計」が難しくなります。

結果として、

• ルールはあるが守られていない
• 例外対応が常態化している
• 属人管理になっている

という状態に陥りやすくなります。

---

解決の鍵は「制限」ではなく「設計」

近年、注目されているのは
**「禁止するセキュリティ」から「前提を変えるセキュリティ」**への転換です。

例えば、

• 端末を完全に信用しない
• 社内・社外という境界に依存しない
• そもそも端末に情報を残さない

こうした考え方は、ゼロトラストという概念にも通じます。

重要なのは、
「使わせない」ではなく
「使っても事故になりにくい設計」を考えることです。

---

情シスは「現場の敵」ではなく「調整役」

情シスの役割は、
セキュリティを盾に業務を止めることではありません。

• 現場がなぜそれを使いたいのか
• どこが本当のリスクなのか
• どこまでなら許容できるのか

これを言語化し、経営と現場の間で落とし所を設計することが、これからの情シスに求められています。

---

まとめ

セキュリティジレンマは「失敗」ではなく「前提条件」

セキュリティジレンマは、
情シスの能力不足ではなく、構造的な問題です。

特に中小企業では、
「全部守る」「全部自由にする」
そのどちらも現実的ではありません。

だからこそ、

• 管理しすぎない
• 信頼しすぎない
• 事故を前提に設計する

この発想の転換が、情シスを楽にし、現場との対立を減らします。

情シスは孤独な部門になりがちですが、
本来は会社全体の業務を前に進めるためのパートナーです。

セキュリティと利便性、そのジレンマの中でバランスを取り続けること自体が、
これからの情シスの「価値」なのかもしれません。