これらの事件から西本氏は、企業の内外に存在する脅威に着目したセキュリティ対策を呼び掛ける。脅威のとらえ方は、脅威の性質がどのようなものであり、それがどのように作用していくのかを理解することだといい、最終的には経営的な判断を必要とする。
「脆弱性を減らしたり、脅威の発生を減らしたりする対策に加え、脅威による損害を発生させない、もしくは損害を最小にする対策が求められる」(西本氏)。可能な限り脅威の発生や対応方法を想定し、意思決定を明確にする。想定外の事態があることも考え、許容できる範囲などを理解しておくことなどがポイントになるという。
それでもセキュリティ対策には限界があるとし、対策を運用するユーザーが高いレベルのセキュリティ意識を持つことが重要だと西本氏は提起する。
「セキュリティ対策をどこまですべきかという悩みは、“良いリーダーとは何か”という命題に似ている。逆に優柔不断や手柄の横取り、責任回避といった悪いリーダーをイメージする方が簡単だろう。セキュリティ対策も最悪な事態が何かをイメージすれば、自社に合ったスタイルを導きだせるだろう」(西本氏)
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.