セキュリティは1日にして成らず 「成果はまだ?」という経営者へのお願い萩原栄幸の情報セキュリティ相談室(3/3 ページ)

» 2014年10月10日 08時00分 公開
[萩原栄幸,ITmedia]
前のページへ 1|2|3       

情報セキュリティを“創る”とは

 こういう場合に、目先だけの短期効果を選んで作業したら、必ず全体のバランスが崩れる。そもそも改善の1つに挙がった資料の項目の一つ一つを検討していく作業は、真っ暗闇の中でたまたま指でつかんだモノの感触だけを頼りに、自分の行く方向を決めなくてはならないようなものだ。

 本来は全体の概要をよく認識してから――とスタートして、全部が終わるまで数年はかかる。その大きな目標に向けて「今月はここまで検討する」という一里塚が必要であり、全体のベクトルがどう進むかによっては、作成したドキュメント自体を廃止する方が、ベストなケースになることが往々にして起きるわけだ。問題を抱えた既存の依頼書や設計書の項目一つ一つを慎重に見極めて短期策の成果とするのは愚かな行為であると気が付いてほしい。

 短期で作業を片付けようとすることがもたらすリスクの高さを、経営者の方々にはぜひ理解していただきたいのである。でも、頭の固い一部の経営者は「外部のコンサルタントなど信用できない」という短絡的思考に走られる。

 こちらとしては、「餅は餅屋に任せてくれないか……」と思うしかないのが悲しい。何度も何度も噛み砕いて説明して、ようやく9割の経営者にはご理解していただけるが、どうしても納得されない方は、それこそどうしようも無い。そこで、「○○概念図」」とか「○○リスト」といった「成果物」という“ニンジン”をぶら下げざるを得なくなる。このための作業が全くムダなのだが……。

 「成果なくして金はなし」という思考は、ある意味では西洋風の流れだ。常に短期で利益を上げないと株主が満足しないという考えにも近いだろう。しかし以前の日本のカルチャーは、一見では目先の利益につながらない基礎的な研究を地道に行うというもので、西洋風の流れとは全く別の発想だった。

 情報セキュリティやシステム改善策の一部においても、短期的思考ではおおよそ頓挫してしまう。全体の最終到達点をある程度時間をかけてでも慎重に決める。そして、「来月末までのマイルストーンはココである」という時系列的に一気通貫で作業をしていく。西洋風の流れでも、この分野の進め方は受け入れられているだろう。そのための体制をそもそも構築する前に「成果を示す」ことは極めて難しい。「無」から「有」を創り上げる作業では途中経過が成果ではないからだ。

 ノーベル賞の日本人受賞の話題があった。「目先の実用的な研究は大事だが、基礎研究はさらに大事だ」という論評を聞くたびに、筆者は「そうそう」とうなづく。この言葉をぜひ経営者へ聞かせたいと思うのは、筆者だけだろうか……。余談だが、ここまで執筆して村上春樹氏のノーベル文学賞受賞はならなかったというニュースを聞いた。筆者はとても期待していたし、トップクラスの人気を誇るだけに悔しかった。来年に期待したい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ