【失敗から学ぶセキュリティ】投資した効果を追求する

2007/06/28 掲載

【失敗から学ぶセキュリティ】投資した効果を追求する

記事をお気に入りリストに登録することができます。

セキュリティは企業にとって欠かせない対策になり、全ての企業で対策に力を入れていると言っても過言ではない。しかし、万全な対策が取れている企業はほんの一握りで失敗事例も数多い。本連載では、「失敗から学ぶ情報セキュリティガバナンス」と題して、失敗事例を軸にセキュリティ対策について論じていく。

▲失敗例
持ち出しを禁止していたにもかかわらず

ローブライトコンサルティング株式会社
代表取締役　
加藤道明 Michiaki Kato

　ご存じだろうか、「在職当時の顧客情報を不正に使用」、「自宅パソコンがウイルスに感染し流出」、「システムの不具合により、第三者が閲覧できる状態に」、「誤発送」、「誤送信」、「紛失」、「置き忘れ」といった事件、事故が一部マスコミにより、ほぼ毎日のように報告されている。まだまだ氷山の一角だろうが、この報告を分析してみると、年々「持ち出しを禁止していたにもかかわらず...」といった報告が増えていることがわかる。なかには、ISMS やプライバシーマークを取得している事業者もいる。もちろん、内部統制を行っていれば絶対に事件、事故が起きないという訳ではない。しかし、企業が人・物・金といった経営資源を投資し内部統制を行うということは、事件、事故が起きる可能性、または起きた際のダメージが最小限にならなければ意味がないのだ。

▲着眼点
本来の目的に着目

　企業が情報セキュリティに関する内部統制に投資する本来の目的は、リスクを最小化し事業継続を確実にすること、投資に対する事業機会を最大限にするという見返りを期待することにある。しかし、いつしか情報セキュリティに関する内部統制の方法論だけが一人歩きし、本来の目的を見失いかけているように感じられる。本来の目的を見失った内部統制は、投資に対する事業機会を最大限にするどころか、経営効率化を阻害するだけである。今回は、情報セキュリティに関する内部統制本来の目的に着目し、合理的、つまり有効的に活動するための実務上の勘所をご紹介したい。

▲要因1
社員の理解が得られていない活動

　社員の理解が得られていない活動になっていないだろうか。実際に情報を管理するのは社員である。その社員が何のための管理なのか理解できなければ、社員が被害者意識をもつことになり、モチベーションも下げてしまう。また、それが長く続けば、意識が麻痺してしまう。管理しているふりをする（記録だけで、実態がない）。行き着く先は、連帯無責任の組織である。脅威とは、そういったところに付け込むものである。

▲要因2
形だけのリスクアセスメント

（表1）コーポレートガバナンスと内部統制

　自社におけるリスクアセスメント（分析と評価）を行っていない、また、形だけのリスクアセスメントになっている、そのような組織に共通して見られるのが、過剰な管理と現場の疲弊である。リスクに応じた管理の選択が不適切ということである。たとえば、隣の部門に渡すだけでも授受の記録を残すようにしたところもあるようだ。また、2008年度決算から適用される「財務報告に係わる内部統制」においても、パスワードの秘匿やウイルスパターンファイル、セキュリティパッチの励行を監査人にPR するところもある。しかし、これまで第三者が不正侵入し財務諸表を改ざんしたとか、ウイルス感染によって財務諸表が改ざんされたという話は聞いたことがない。

▲提案
何のための管理なのか、何を守って欲しいのかを明示する

　そもそも内部統制とは、経営者が社員を統制することをいう。利害関係者が経営者を統治することをコーポレートガバナンスという。利害関係者が経営者を統治し、経営者が社員を統制する。昨年の会社法改正でも、明確に位置づけられた。経営者が社員一人ひとりに意識づけすることは、内部統制の第一歩である。ポイントは社会的責任などの理念だけで終わらず、必ず何のための管理なのか、何を守って欲しいのかをできるだけ具体的に示すことである。これが情報セキュリティ基本方針である。モチベーションが低い組織では、悪い情報が速やかに上がらない。モチベーションを高め、無知、無責任、油断を防ぐ方向にもっていかなければならない。

▲提案
事業に与える想定損失が大きい順に人・物・金を

　本来、リスクアセスメントは、リスクに応じた管理を選択するために行うもの。リスクに応じたとは、事業に影響を及ぼす度合いに応じたということでもある。情報セキュリティとは、事業上の脅威から情報を保護することであり、そのリスクアセスメントは、情報が漏れた場合、誤った情報になってしまった場合、情報が利用できない場合、事業に与える損失を考えて実施されなくてはならない。事件、事故の事例に学び、自社において想定される法令違反による処罰、経済的な不利益（損害賠償、違約金の支払い、解約、契約を逃すなど）、社会的な信用の失墜（営業展開が不利になるなど）を、分析、評価してほしい。その結果、事業に与える想定損失が大きい順に人・物・金を投資することをお奨めする。逆に、事業に与える想定損失が考えられないようなものには、人・物・金を投資する必要はない。管理増やす決断も必要だが、増やさない決断も必要である。

　最後に、ISMS やプライバシーマークの認証取得について触れたい。まず、認証とは、マネジメントシステムのプロセス（PDCA）を評価するものであり、安全性を保証するものではないことを知る必要がある。認証取得事業者が事件、事故を起こしたとしても、認証した審査機関並びに審査員が責めを負うようにはなっていない。たとえば、「内規違反の件数が昨年は50 件だったので、今年は40 件以内を目標にする」といった活動も認められる。しかし、あえて認証取得をお奨めしたい。その理由は、継続的な外圧の必要性である。取得後、ISMS では年に1 回、プライバシーマークでは2 年に1 回、審査員が確認にくる。そのため、どれだけ忙くても、毎年最低限のことは対応しなければならない。事件、事故の経験がない組織において、内部統制が継続できなくなる例が見受けられる。認証取得もまた、有効的に活動するためのツールである。

（表2）リスクに応じた管理を選択する

関連コンテンツ

記事

セキュリティ総論

Symantec World 2024[アーカイブ]

世界中で高まるサイバーセキュリティの脅威とリスク　あらゆるリスクに備える、ゼロトラストの実現企業のAI・DXによる変革が進展する中、デジタルデバイスやネットワーク、データといった重要なアセットがサイバー攻撃の対象になっています。こうしたリスクに対して、企業はあらゆる攻撃を想定し「ゼロトラスト」で対応することが求められています。こうしたサイバーセキュリティの最新動向とゼロトラストのセキュリティ対策をお届けすべく、オンラインで参加できるシマンテックのサイバーセキュリティセミナーを開催いたします。デバイスセキュリティ、ネットワークセキュリティ、データセキュリティの各セッションをご用意いたしました。シマンテックのゼロトラストの世界をぜひご覧ください。

イベント・セミナー

オンライン 2024/05/21開催

DXを加速するゼロトラストセキュリティ 2024 春

世界経済の混乱や、長引くインフレ、依然として残るコロナの影響などの中、企業は生き残りをかけてDXを推進しています。それと同時に、社外から社内のシステムにアクセスすることや、工場外から製造装置に直接アクセスするような機会も増えています。DXの進展やテレワークの普及などによりビジネスのクラウド化がさらに進んだ結果、従来型の「境界型モデル」ではネットワークセキュリティの維持が困難となり、「すべてのトラフィックを疑わしいものとみなす」ゼロトラストセキュリティへの注目が高まっています。境界なきセキュリティが求められる時代にデジタルトラストを確立するにはどうすればよいのでしょうか？当WebセミナーではDXに取り組みながら、企業がゼロトラストセキュリティについて進めるべき方向性を模索し、ゼロトラストセキュリティに関するさまざま情報を提供してまいります。

イベント・セミナー

オンライン 2024/05/31開催

”最も重要なことから始めよ”　引き算でデザインするセキュリティ戦略の新標準

本セミナーは2024年2月9日(金)に開催したセミナーと同じ内容となります。情報セキュリティを管轄する部門にとって最も重要なことは何でしょうか？そしてその「最も重要なこと」は事業部門、経営層と一致しているでしょうか。この根深い問題をしっかりと把握している企業は追加コストの対策型セキュリティではなく、サイバー上の「ビジネスリスク」として事業戦略とリンクして投資をされようとしています。本セミナーでは、デジタル化を推進される方を対象に、最先端の情報を踏まえつつ、転換に向けた新標準となるアプローチをご紹介します。

あなたの投稿

ようこそゲストさん

フォローの多い人気のタグ

注目のイベント・セミナー