「横並び」のセキュリティ投資を脱するには？

10月1日、「情報化月間 2004」の記念式典に合わせて開催されたパネルディスカッションではセキュリティ投資の尺度がテーマとなった。

[高橋睦美，ITmedia]

　10月1日に「情報化月間 2004」の記念式典に合わせて開催されたパネルディスカッションにおいても、「セキュリティはどこまでやればいいのか、どこまで投資すればいいのか」がテーマとなった。このパネルディスカッション「企業戦略としての情報セキュリティ投資：情報セキュリティガバナンスの可能性」は、経済産業省の田辺雄史氏（情報セキュリティ政策室課長補佐）の講演に続いて行われたものだ。

　コーディネータを担当したIBMビジネスコンサルティングサービスのCSO、大木栄二郎氏は、まずセキュリティは企業の社会的責任（CSR）の一環であるとし、「企業ではよく『お金』が大事だといわれるが、同じように『情報』を大切にする企業が増えてほしい」と述べた。

　しかも、ビジネスが企業の枠を超えて展開されることも多い現在、「個人情報保護もそうだが、自分の会社の都合だけでセキュリティを考えるのではなく、バリューチェーン全体でセキュリティを考える必要がある」という。

　それにつけても企業を悩ませるのは、果たしてどの程度までセキュリティ対策を施せば十分と言えるかだ。「これまでは、横並び体質そのままというか、『同業他社はどのくらい投資を行っているか』『あそこがそうならこのくらいでいいか』といった判断に基づき対策が施されてきた」（大木氏）。そうした曖昧な基準の代わりに、バリューネット全体で明確な基準を設け、各企業にその基準の遵守を求めていくべきだという。

IT投資にセキュリティが占める割合は……

　「企業IT動向調査」などを実施している日本情報システム・ユーザー協会（JUAS）専務理事の細川泰秀氏は、JUASが行った調査の結果を元に、企業の情報セキュリティへの投資の実態の一端を明らかにした。同氏によると、IT投資全体のうちセキュリティにかけられている割合は平均で4％。ただ、ばらつきが大きく、低いほうはわずか0.2％から最高は24％まで大きな差が出たという。

　それでも全体的に見れば「セキュリティ投資への意欲は（減少が見られた）ひところよりは安定してきた。特に、セキュリティ投資を減少させると回答した企業はわずか1％であり、ほとんどの企業で『何らかの対策をしなくてはならない』と感じていることが分かる」（細川氏）。

　一方、東京会場日動火災の長嶋潔氏は、保険という業界での経験を踏まえ、新BIS規制を引き合いに出しながら、リスクの定量的評価――セキュリティ投資と表裏一体とも言える――の重要性について語った。

　「異なるリスクを定量化し、会社全体のリスクのプロファイルを作成するトータルリスクマネジメントの必要性が言われるようになった」（長嶋氏）。同じ土俵でさまざまなリスクを比較し、統合することによって会社全体の「リスクカーブ」を描けば、それに基づいて「何にどれだけ投資すべきか」の判断が下しやすくなるという。

　しかし「情報セキュリティの世界でもリスクを定量化できればいいのだが、課題は山積している。データや事例が不十分だし、業界の変化が激しいなど、難しい要因が多い」（長嶋氏）。日本ネットワークセキュリティ協会（JNSA）ではリスク算出についてのトライアルを進めているが、「データの蓄積がなされていないことが課題。1社だけでなくもっと大きな取り組みが必要ではないか」（同氏）という。

パネリストからは「セキュリティ対策を行わなければ市場から退場を命じられる可能性も」「ISMSの取得が取引先選定の条件になる」といった発言もあった

　また最後のフリートークでは、セキュリティ投資の難しさについて次のような言葉も聞かれた。

　「経営陣から『この対策で絶対に大丈夫か？』と聞かれたときに、『はい、大丈夫です』と答えられないのがこの問題の厄介なところ」（細川氏）。経営者には、100％はありえないというセキュリティの特質をぜひ理解して欲しいという。

　また長嶋氏は、「（コンサルティングなどの場では）『どこまで対策すればいいのか』としばしば尋ねられる。その場合、『仮に個人情報が漏洩し、記者会見を開かねばならなくなったときに、自分の言葉で説明できる対策をすればいいのではないか』と答えるようにしている。そう考えれば、自ずとなすべきことが見えてくるのではないか」と述べている。

体で覚えるセキュリティを

　こうしたセキュリティ投資に関する議論に別の方向から一石を投じたのは、公認会計士の丸山満彦氏（トーマツエンタープライズ）だ。「私が経営者の立場だったら、セキュリティにお金をかける前に、まずマネジメントを変える。基本を守ったきちんとした運用を行わなければならない」（同氏）。

　丸山氏はその具体的な項目として、役割分担の明確化（職務分掌）、本人確認（認証）によるなりすまし防止、Need to KnowとLeast Privilege（必要な人にだけ最小限の権限を与える）、脆弱性の管理、ログなどを通じた記録の採取と監視、といった5項目を挙げた。「こうしてとりあえず運用面をきちんとさせて、新たなシステム設計は次の予算でじっくりやればいい。慌てて投資してもつぎはぎや二重投資になる可能性は高い」（丸山氏）。

　同氏はさらに、「頭で理解するのではなく、体で覚えるセキュリティを」とも述べている。

　「たとえば横断歩道を渡るときには左右を確認するが、それは子供のころから繰り返し、ひたすらやり続けることで体で覚えたもの。セキュリティも同じように体で覚えるようにならなくては」（丸山氏）。逆に言えば、パスワード設定なしのPCが配布されたり、定期的な変更が求められないのに従業員側が気付き「これはおかしいのではないか」と指摘するようになれば、セキュリティがしっかりしている会社だと言えるのではないか、という。