セキュリティ管理の啓蒙、まず社長さんと役員から?

企業の情報セキュリティに対する意識は社長や役員の方が低い。また、セキュリティ管理を強化するためにペーパー(紙媒体)への回帰が見直されている――。ガートナーのレポートからこんな実態が浮き彫りになった。

» 2007年06月08日 08時00分 公開
[真実井宣崇,ITmedia]

 シマンテックは6月6日、報道関係者向けにセミナーを実施、その中でガートナージャパン ITデマンド調査室の中野長昌氏が「企業内個人における情報セキュリティ管理の現状と課題」というテーマの調査レポートを公開した。

 個人情報保護法が2005年4月1日から全面施行されて早2年。この間、企業の状況を見ると、例えばパスワードによるPC/情報システムへのログイン認証の厳格化、ノートPCなどに個人情報をできるだけ保有させない、PCハードディスクを暗号化するところが増えている。だが一方で、取引先や業者などに対する契約条件を見直す企業が減るなど、マイナス要因があるのも否めない。

画像 個人情報保護法全面施行2年目の現況

 また今年3月から5月までの間に発生したインシデント(事故/事件)の特徴として、委託先/関連会社からの情報漏えい、携帯電話やUSBメモリなどによる紛失などが挙げられ、さらに注目すべきは、会社役員自身のファイル交換ソフト利用による漏えいもあったという(図2)。

画像 今年発生したセキュリティインシデント

 特に、こうした「社長・役員クラスのセキュリティに対する意識の持ち方や対応は気をつけなければならない」と中野氏は警鐘を鳴らす。例えば、「情報セキュリティポリシー」や「PC・情報システムの取り扱い規定」「電子メール・インターネットの取り扱い規定」に関しては、規定を読んだあるいは講習を受けた一般社員・課長クラス・部長クラスの割合が50%強、もしくはそれに近い比率なのに対し、社長・役員クラスは30%前後にとどまっている。

画像 情報セキュリティポリシー(順守するのは誰か)

 また従業員規模で見ると、1000人以上の企業では、情報セキュリティポリシーに関して「規定を読んだ・講習を受けた」が60%近くあるが、999人以下の企業では50%弱、また「PC・情報システムの取り扱い規定」は、1000人以上が50%強に対して999人以下が40%に満たないなど、規模が小さくなるほど意識の弱さが出ている。

 全体的には、情報セキュリティポリシーにしても、PC・情報システムの取り扱い・利用規定にしても、確かに多く社員に公開されるなど、企業現場での情報セキュリティ管理体制は強化されてはいるものの、インシデントは決して沈静化しておらず、むしろ多発化傾向にある。また対策においても、企業の職位や規模によって問題を抱えているのが現実のようだ。

プランがあっても実行されない情報セキュリティ管理

 こうしたことへの取り組みとして、中野氏は「これまでのセキュリティポリシー策定や情報セキュリティの社員教育、プライバシーポリシー/個人情報保護法規定の策定、コンプライアンス教育の確立などといった広さ(導入/普及)にとどまらず、深さ(順守/評価)が重要となる。そのためには、企業内個人とPDCA(Plan:計画/策定、Do:実行/順守、Check&Action:チェック/監査)サイクルに軸足を置いた情報管理の議論が不可欠」という。

 現在、日本の情報セキュリティ管理への対応状況をPDCAに照らし合わせてみると、Planは75%だがDoは45%、Check&Actionにいたっては、わずか20%といったレベルだそうだ。このようにPlanは進展していても、DoやCheck&Pointが一定のレベルに達しておらず、これらを強化しなければならない。企業では、特に上級管理者から浸透を図っていくことが必要だ。また、情報セキュリティはナレッジワーカーが順守すべきだという点も注目される。企業内個人はノートPCや携帯電話、インターネットという三種の神器を持ち、もはや誰もがこのナレッジワーカーになり得るのだ。

 一方で、企業内個人のセキュリティ順守によりリスクに対して敏感にはなったものの、その半面、個人の業務効率や生産性が低下した、どこまで順守すべきか不明瞭、現場の意見が反映されていない、見直しが実施されていない、など、特に一般社員にとって深刻な不安を抱えていることもしっかり見据えておく必要がある。

 ところで今回の調査で、もう1つ興味深い現象が報告された。企業内個人におけるモバイル、書類の携帯動向として、紙媒体で携帯する傾向が顕著になってきたのである。「昨年、20%強であったものが、今年になってなんと50%を超えてしまった。つまりノートPCや記憶媒体はリスクが大きく、管理も厳しいから」(中野氏)。まさに紙媒体の復興とも呼べる傾向で、これは一般社員から社長、役員クラスまで共通しているという(図6)。

画像 企業内個人におけるモバイル・書類の携帯動向

 本来は情報セキュリティ管理の推進役である社長・役員クラスのセキュリティ管理に対する意識の低さ、対応の悪さは由々しき事態とも言える。中野氏は、この対策として「例えば政府のイニシアチブが必要」と指摘する。同時に、日本で築かれてきた縦割り的な組織の中ではそれほど容易ではないとのことで、小学校からの教育など長期的な取り組みも欠かせないだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ