登場から約10年、インターネットは企業のビジネスを進化させた。だが適用分野が広がる反面、セキュリティ対策が企業の命運を握るようになっている。この連載では、システムを設計・変更する際に、企業内ネットワーク管理者やSEが知っておくべきセキュリティ対策について検討する。
山本篤志 (AT&Tグローバル・サービス)
ここ数年、「ビジネスのスピード化」が盛んにいわれている。こうした変化は、これまでも常に指摘されてきた。それが改めて指摘されるようになったのは、グローバル化に伴い、企業経営にネットワークが不可欠になったことが挙げられる。
経済活動は国内だけで完結するものではない。近隣諸国の台頭による低価格化、または新たな市場の追求など、グローバル的に企業の活動を俯瞰(ふかん)しなくては、企業が存続しない時代となっている。そのための情報共有が不可欠であり、約10年前に登場したインターネットは、まさにこうした企業のニーズに適合していた。今や企業や個人に至るまで、ネットワークなしでは成り立たない時代といえる。ビジネス観点からいえば、ネットワークが経営に果たす役割が大きくなっているのだ。
例えば、従来はコミュニケーションの手段としてとらえられていた電子メールも、今日では、基幹システムと連携して決済フローに組み込まれていたり、情報収集や指示の手段に利用したりと活用用途が広くなっている。つまり金額の決済やビジネス上の決断など、経営上インパクトが大きい分野でネットワークの利用が当たり前となっているのだ。こうした状況で、企業のCIOが担うべき責任は大きい。その最たるテーマが「セキュリティ」だ。
時間と場所の制約を超え、グローバルなビジネス展開をするためにネットワークは欠かせない。では、安全かつ適正なビジネスを遂行するためのセキュリティ環境はどうだろうか。
昨年施行された「個人情報保護法」の影響もあって、確かにネットワーク・セキュリティに対する関心は高くなった。その一方で、セキュリティ事故は増加の一途をたどっている(図1参照)。
同時に、セキュリティ事故1件あたりの被害賠償額も増加。2002年度にはほとんど見られなかった「一人当たりの損害賠償額100万円以上」が、2004年には5件に増えている(図2参照)。
これにはいくつか理由があるが、最大の問題は「セキュリティ脅威が社員に正しく認知されていない」ということだ。補足すると「仕事や作業効率化に必要だから」という理由で、各社員が悪意なくセキュリティ脅威を増している現状がある。
例えば、社内PCの持ち出しはもちろん、USBメモリにダウンロードして社外秘情報を持ち出し、自宅や出張先で仕事をする。メールで顧客情報データのやり取りをする。仕事の効率化や、ビジネスのグローバル化を考えれば必要だが、これらの行為がセキュリティ事故を誘発する事実に気付いていない。「良かれ」と思ったことが、結果として仕事の遂行を阻害することもあるのだ。「PCにはUSBデバイスを使用してはならない」ということで、マウスすら使えなくなった企業はその典型だろう。
同時に、ただ一度のセキュリティ事故が、企業全体の信頼を失墜させるという事実も忘れてはならない。ハッカーによる個人情報の盗難だけではない。最近、P2P型ファイル共有ソフト「Winny」による個人情報流出のリスクが深刻に議論されているが、これなどは「仕事のために必要だから」と良かれと思って利用したことが、裏目に出てしまった悲劇だ。
そして一度個人情報が流出すると、消費者や取引先から「不安な企業」「かかわりたくない企業」という烙印を押される。サイトを閉鎖するなど、事業の芽が摘まれることを覚悟しなければならない。CIOやセキュリティ担当者の行動1つで、企業の命運が決まると言っても過言ではない。
Winnyに関しては、政府も本腰を入れて対策を検討し始めているが、企業としてまずやるべきは「安心・確実なビジネス環境の構築すること」だ。「ネットワークの利用が企業活動に不可欠になっていること」を自覚し、その上で安全なビジネス環境構築に向け、対策を行うこと。“検討”ではない。リスクを洗い出し、社内全体にリスク意識を浸透させ、その具体的な対策を実行に移すこと、これがネットワーク社会の企業の行動として、何よりも優先されるべき事項なのだ。
Copyright © ITmedia, Inc. All Rights Reserved.