ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2007/08/24 掲載

【連載】なぜ、企業で情報セキュリティは人気がないのか(2/2)

NETWORK Guide Vol.6より

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
企業が情報セキュリティをやらなければならない理由

 それでは、なぜ、やりたくもない情報セキュリティ対策を企業はやらなければならないのでしょうか。  教科書的な正解は、以下のようになります。

■ 社会的責務
 CSR(企業社会責任)の一環として、情報システム社会に生きる企業市民(コーポレートシチズン)としては、セキュリティ対策が必須である。自社の管理する情報を安全に管理し、適切かつ効果的に活用していかなければ、これからの事業の発展はありえない。

■ リスク管理
 いまや情報セキュリティに関する事故、たとえば、個人情報漏えい事件や、ウイルスによる機密情報漏えい事件は、どの企業でも起こりえる問題であり、ひとたび発生してしまった場合、企業の信用に関するリスクは計り知れないものがあるため、情報セキュリティをおざなりで済ませるわけにはいかない。

■ 法制化など政府の指導
 e-Japan計画をはじめ、日本が世界の中でその優位性を保ち続けるためには、情報立国という構想が欠かせない。その中で活躍してほしい日本企業においては、悪事を働かない(刑法)ことは当たり前として、国民の情報を守り(個人情報保護法)、内部統制に基づく正しい会計情報を公開(日本版SOX法)することが、世界の企業と渡り合っていくための義務となっている。そのためにも情報セキュリティ対策は最低必要条件である。

 さらに副次的な効果としてうたわれるものとしては、以下の要素があります。

■ 顧客サービス向上
 お客さまが安心して取り引きのできる環境を提供することで、顧客サービスの向上につながり、売り上げの向上が見込める。

■ 品質向上
 情報セキュリティの定義である、可用性、完全性、機密性が向上することで品質が向上し、安心して使える情報システムが実現する。

■ マネジメントサイクル構築による効率性アップ
 情報セキュリティ管理体制(ISMS)を導入する過程において、業務フローの見直しや、情報資産のたな卸しが行われ、日ごろ見落としていた問題点の解消や、業務効率の改善が見込める。  と、このようなきれいごとを並べられても、やはりやりたくない仕事はやりたくないのが本音ではないでしょうか。

 幸いなことに、日本企業では昔から、明確に職務として定められていない仕事であっても、本当にやらなければならない類の仕事は誰かがやってくれているものです。特に情報セキュリティなどの“誰からもほめられないタイプの仕事”は、率先して会社が組織的に推進していくことはまれであり、まじめなで 責任感の強い情報システム担当の方が、陰ながら支えています。

 これは、裏を返せば、情報セキュリティについては教科書的な理論とは別の領域においても、「やらなければならない」という感覚が芽生えてきているということだと考えられます。

情報セキュリティは担当者任せが実情

 なぜ、現場レベルでは、情報セキュリティを実施しているのでしょうか。たとえば、情報システムの担当者であれば各種障害対応の経験から、IRT(インシデント・レスポンス・チーム)の必要性は痛いほど理解しており、会社組織として緊急時の意思決定ルートの整備と、上位者におけるその必要性の理解を期 待しています。

 しかし、現実問題として整備されているケースはまれであり、担当任せになっています。担当者からすれば、種々のシステム障害と同様に、セキュリティ・インシデント(セキュリティ事件・事故)が発生した場合であっても、自分がその事故の対処をできるかどうかとは無関係に、何とかしなければならないのです。この辺りが、担当者が情報セキュリティをやっている理由の1つだと考えられます。

 ほかには、各種メディアで同業他社のセキュリティ・インシデントが取り上げられた場合に、自社のセキュリティ対策との比較が行われ、不足部分に対する対応を急遽実施することとになるでしょう。さらには、個人情報保護法や、日本版SOX法などによる法的規制が突然、降りかかってきたり、自社の所属する業界団体からの規制や、ガイドラインなどにより強制されたり、取引先や親会社から強く要請されたりすることで、いやおうなしに情報セキュリティを実施しているものと思われます。

 このような現場レベルによる情報セキュリティの進化であっても、放置しているよりはましな状況でありますが、当然、課題も残されることとなります。  それは、必要だとわかっていても、新しい仕事を一担当の権限でかってに増やすわけにはいかないことから、いつまでたっても明文化した組織としての仕事に格上げできない点。また、個人レベルの善意により成り立っているため、個々人の理解度や達成すべき目標レベルの違いにより、対策が異なること で、組織内にいらぬ紛糾の種をまくことになるという点などがあります。

連載一覧へ


丸山 司郎
ラック 研究開発本部 主管研究員
情報セキュリティ全般のコンサルティングに従事。現在は、研究開発本部にて明るいセキュリティを研 究する傍ら、ラック緊急対応チームの隊長として、日夜セキュリティ事故に立ち向かっている。


関連タグ

関連コンテンツ

記事
セキュリティ総論

辻伸弘氏が解説するランサム攻撃動向、「侵入されても発症させない」対策のキモとは

標的型攻撃やランサム攻撃など、企業を標的にしたサイバー攻撃は依然として大きな脅威となっている。さらに、取引関係にあるサプライチェーンや顧客にも攻撃対象は拡大しており、企業はこれらの脅威に対応していかなければならない。そこで、ランサム攻撃をはじめ幅広くサイバー空間の脅威の観測、情報発信を行うSBテクノロジーの辻 伸弘氏と、大興電子通信 セキュリティアドバイザーの中須寛人氏、富士通の斎藤 建氏、丸子正道氏が最新のマルウェア攻撃に対抗するためのポイントを紹介した。

記事
セキュリティ総論

“危険すぎる”国家が主導するサイバー攻撃、ウクライナ侵攻で見えた情報戦の変化とは

ロシア・ウクライナ戦争のさなか、スロバキアのセキュリティベンダーESETが、ロシアによるウクライナへの心理戦や情報操作を目的としたサイバー攻撃を確認・報告している。開戦前後はウクライナのインフラや政府機関を狙う攻撃であったが、戦争が長期化するにつれ、その攻撃にも変化が見られるという。現在は攻撃対象を広げ、その動きは周辺国をも巻き込み始めている。ESET CEOであるリチャード・マルコ氏への取材を交え、ロシアが仕掛けるサイバー攻撃の実態を暴く。

記事
セキュリティ総論

知らなきゃ“大事故”の可能性も、SaaS活用で陥る「6つの落とし穴」回避術

今や一般的になった企業によるSaaS(クラウドサービス)の導入。ユーザー部門にとっては利便性の高いサービスだが、間違った運用によりセキュリティ事故が発生するといったリスクもある。SaaS活用に潜むインシデントとは一体どんなものがあるのか。そしてそれらのインシデントを回避するにはどのような手法が有効なのかを解説する。

記事
セキュリティ総論

ChatGPTの情報漏えいをどう防げばいいのか? 続々登場する新ソリューションの仕組み

生成AIの利用が急増している。しかし、依然として生成AIに関する懸念はつきまとっており、生産性を改善しつつリスクをどう下げるのかが多くの企業のトピックとなっている。特に注目される「情報漏えい」をどう防ぐのか。続々と登場する新ソリューションを紹介しよう。

記事
セキュリティ総論

厳選!「日本のセキュリティ課題凝縮事例」から学ぶ、「インシデントを防ぐ組織」とは

日々、実に多くのセキュリティインシデントが発生している。この危機的な状況を前にして、新たにセキュリティ製品・サービス導入を検討する企業は多いだろう。だがそれ以前に、真の「インシデントが起こらない組織」をつくるためには、まず自社の現状を正確に分析し、既存の資産・資源をフルに活用する姿勢が重要になる。セキュリティの専門家集団として、さまざまな企業・組織に助言やプロジェクト支援を行っている日本シーサート協議会の萩原健太氏が、大阪の病院で発生したインシデント、いわば失敗事例から今すぐ取り組むべきセキュリティ対策の課題について解説する。

記事
セキュリティ総論

中小企業が抱える「セキュリティ対策以前の問題」、XDRやSOCサービス導入の理想と現実

高度化するサイバー攻撃に対して、XDRやSOC、脅威インテリジェンスといったセキュリティ対策が注目されている。しかし、これらの手法やソリューションを導入できる企業は限られている。実際にセキュリティ対策に十分な投資を行えるのは、予算も人員もある大企業だけなのが現状だ。では、いずれも限られる中小規模企業(SMB)はどこまで対応すればよいのだろうか。

イベント・セミナー
オンライン
オンライン

Symantec World 2024[アーカイブ]

世界中で高まるサイバーセキュリティの脅威とリスク あらゆるリスクに備える、ゼロトラストの実現 企業のAI・DXによる変革が進展する中、デジタルデバイスやネットワーク、データといった重要なアセットがサイバー攻撃の対象になっています。こうしたリスクに対して、企業はあらゆる攻撃を想定し「ゼロトラスト」で対応することが求められています。こうしたサイバーセキュリティの最新動向とゼロトラストのセキュリティ対策をお届けすべく、オンラインで参加できるシマンテックのサイバーセキュリティセミナーを開催いたします。デバイスセキュリティ、ネットワークセキュリティ、データセキュリティの各セッションをご用意いたしました。シマンテックのゼロトラストの世界をぜひご覧ください。
イベント・セミナー
オンライン
オンライン

DXを加速するゼロトラストセキュリティ 2024 春

世界経済の混乱や、長引くインフレ、依然として残るコロナの影響などの中、企業は生き残りをかけてDXを推進しています。それと同時に、社外から社内のシステムにアクセスすることや、工場外から製造装置に直接アクセスするような機会も増えています。DXの進展やテレワークの普及などによりビジネスのクラウド化がさらに進んだ結果、従来型の「境界型モデル」ではネットワークセキュリティの維持が困難となり、「すべてのトラフィックを疑わしいものとみなす」ゼロトラストセキュリティへの注目が高まっています。境界なきセキュリティが求められる時代にデジタルトラストを確立するにはどうすればよいのでしょうか?当WebセミナーではDXに取り組みながら、企業がゼロトラストセキュリティについて進めるべき方向性を模索し、ゼロトラストセキュリティに関するさまざま情報を提供してまいります。
イベント・セミナー
オンライン
オンライン

”最も重要なことから始めよ” 引き算でデザインするセキュリティ戦略の新標準

本セミナーは2024年2月9日(金)に開催したセミナーと同じ内容となります。 情報セキュリティを管轄する部門にとって最も重要なことは何でしょうか?そしてその「最も重要なこと」は事業部門、経営層と一致しているでしょうか。この根深い問題をしっかりと把握している企業は追加コストの対策型セキュリティではなく、サイバー上の「ビジネスリスク」として事業戦略とリンクして投資をされようとしています。本セミナーでは、デジタル化を推進される方を対象に、最先端の情報を踏まえつつ、転換に向けた新標準となるアプローチをご紹介します。
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample