責任の連鎖をはっきりと認識させる：オンラインセミナー「セキュリティ対策 5つの鉄則」

さまざまなセキュリティ対策を施しても、有効性は今ひとつあがらない――なぜ企業はこうした状況に陥ってしまうのか、その原因をインターネット セキュリティ システムズの高橋正和氏にを聞いた。さらなる詳細は6月6日開催のオンラインセミナー「セキュリティ対策　5つの鉄則」にて。

[ITmedia]

　セキュリティポリシーをただのお題目に終わらせず、有効なものとしていくには、具体的な項目やプランに落とし込んでいく必要がある。それには、自社の現実を把握し、事業とセキュリティとを関連付けて考えていくことが不可欠だ。

　しかし、それは現実にはなかなか難しい。その理由の1つとして「セキュリティの投資効果（ROI）を測定しにくいことが挙げられる」と、ISSのCTO兼エグゼクティブ・セキュリティ・アナリスト、高橋正和氏は述べる。

　「セキュリティの投資効果には2種類ある。1つは、計画／購入段階のROI。もう1つは、決算など評価の段階での投資効果測定だ。セキュリティの場合は1つ目にしか明確な数字を出すことができず、2つ目の部分を測定する手法がない。これが、運用の中でセキュリティが回っていかず『お札』化してしまっている原因ではないか」（同氏）

　これに対する解決のヒントとして、重大な事故にまで至らない小さな障害やインシデントにもフォーカスを当て、それに対する対策や活動を経営の中に組み込んでいくことが挙げられるのではないかという。

　「セキュリティの評価はどうしても減点主義になりがちで、上手くいったことに対する加点、ご褒美がない。例えば、ヒヤリハットの事例を報告することを奨励する仕組みを組み入れ、さらにそれを帳簿に載せていくような方法を見つけていくべきではないだろうか」（同氏）。

　ただ「気合いでがんばりました」というのではなく、ヒヤリハットの段階でいかに検出し、事故への拡大を防いだかという部分を定量的に計算していくアプローチが求められているのではないか。

一人一人がリアリティを

　もう1つ重要なポイントは、企業のトップから中間管理職、現場の社員にいたるまで、各々がセキュリティに対する責任を持っているのだという「リアリティ」を持つことだと高橋氏。

　企業で大規模な個人情報の漏えいが明らかになると、多くの場合は記者会見を開き、トップが頭を下げてお詫びすることになる。同時に、事故の当事者には「減給」などのかなり厳しい処分が下されることになる。この事実を、自分たち自身の問題としてとらえられるかどうかがポイントだ。

　セキュリティポリシーが形骸化していると、仮にこうした事故が起こっても「ポリシーはちゃんと定めていた。やるべきことはやっていたのだから責任はない」という具合に、「逃げ」の理由として使われてしまう。

　せっかくのセキュリティポリシーを、重要なデータを守っていくための規範として活用するには、「事故に至る前の小さな兆候を見逃さずにきちんと対処していくこと」「日ごろから訓練と実践を繰り返し、問題点を把握していくこと」が重要だと高橋氏は言う。

あなたの会社のセキュリティポリシーは「あるべき論」にとどまっていないか？
セキュリティ対策　5つの鉄則
開催日時：6/6（火）12:00〜13:00

個人情報保護法の対応により、大半の会社にセキュリティポリシーに相当するものが、導入されたはずである。しかし、個人情報漏洩をはじめとした、情報セキュリティ上の事故が後を絶たない。この原因のひとつとして、セキュリティポリシーが実際の運用レベルまで落とし込まれておらず、あるべき論にとどまっている点を挙げることができる。このセミナーでは、セキュリティ施策を機能させるための、以下のような5つのポイントを紹介する。