セキュリティ投資は無駄金？ 競争優位に変える身近な方法：会社に潜む情報セキュリティの落とし穴（1/2 ページ）

「仕方がないからやる」というセキュリティ投資への意識を改めてはいかがだろうか。多額の資金をかけずにセキュリティを競争優位性へと変えていく第一歩を紹介しよう。

[萩原栄幸，ITmedia]

数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。

過去の連載記事はこちらで読めます！

　わたしは、以前に在職した銀行のシステム部で融資部から依頼を受けてITベンチャー企業の技術評価を行ったことがあります。国内にはさまざまな業種、業態、規模、カルチャーの企業が存在しますが、この時に感じたのは同じ国の企業でもこれほどまでに組織の形が違うのかというほど、その内容が千差万別ということです。さらにそうした大きな違いが存在しながらも、そこにいる従業員は今働いている場所を「これが日本の会社の普通の姿だ」と信じていたのでした。

　転職をして中途採用で入社したある人は、「前職は極めて異例の環境だった。今働いているところにも若干の不満があるが前職よりはいい。ここが普通の会社だ」と話していました。既に転職活動をしている人を含めて、「うちの会社はここが不満だ」という部分しか見ていない人が圧倒的に多いのではないかと思います。

「普通の会社」とは何か

　読者が思い描く「普通の会社」とはどのようなものでしょうか。わたしが1年ほどベンチャー企業を経験して気付いたことは、普通の会社という意識には大きな幻想があるということです。普通の会社と一口に括っても、人がイメージする会社の姿は一様とは限りません。むしろ、現状をなるべく正当化しようとする無意識の自己防御本能に近い感性が働き、ある程度我慢できる部分と不満に思っていない部分を心の中でイメージするようにして自分の働く環境を正当化しようとしているのではないでしょうか。本論からやや外れましたが、今回は日本の職場にこういう背景があるという前提で解説します。

　このように会社とは本来は多種多様であるはずなのですが、セキュリティという意識では経営者たちの考えが見事なくらいに一致します。ある人が言うには、「当社は○○業だ。だからセキュリティなんていう無駄な投資は極力抑えたい」。また、ある人は「弊社はこの不況下を乗り切るべく無駄なリソース（人、物、金）を排除したい。セキュリティも現在の仕事を乗り切る最低限のレベルだけで十分だ」というものです。これらの考えが絶対に間違いであるとは思いません。ただし、このような視点は「現在＋将来6カ月後」という近い期間のスパンで見たという条件からの判断であれば、間違いではないというものです。

「経費」ではなく「先行投資」

　最近、経営不振という負のスパイラルに陥った企業を頻繁に目にするようになりました。半数の工場を閉鎖しないと存続自体が危ぶまれるという会社も多数あります。しかし幸いにもこの不況の波が限定的もしくは想定範囲内であることが判明したら、経営者は今こそ急成長の礎を築く絶好のチャンスであるという認識を持つべきでしょう。

　周囲の環境が悪いということは、相対的に自社の立ち位置が浮上しているということを意味します。戦後の日本経済は目まぐるしく変化しました。経済専門家の見解とは異なると思いますが、1960〜1980年代の経済成長とそれ以降の経済を比較した場合、わたしは「集合体の経済」から「個の経済」へと変化したと見ています。昔はある曲がヒットすると、老若男女で多少の差はあってもほぼ全ての年代から支持されました。しかし、現在は個の時代になり、いわゆる「メガヒット」は生まれにくくなっています。

　企業におけるセキュリティというレイヤは、組織（企業や団体、地方自治体、国など）という土台の上に存在します。もしこの土台が消失すれば、セキュリティ自体も消失するのは明らかですが、セキュリティ担当者の一部にはこの重要な視点に目を向けていない傾向があると感じています。毎年同じような予算を組み、同じように年度末に消化をしようとします。まだ予算が残っていても自社の状況を鑑みて「次年度に回せるものはないか」「プロジェクトを半年遅らせても大勢に影響がないか」と分析します。管理者は経営視点で予算を実行しつつ、一方では技術者として他社との差別化ができる研究開発や技術の状況を十分に認識して、最良のリソース配分を与えられた範囲で行うべきでしょう。

　また、経営者もセキュリティにかんする「人」「物」「金」のリソースへの投資を「経費だ」「無駄な出費だ」「監督官庁の指導だ」「株主に説明できるレベルでいいのだ」といった後向きの考えを捨てるべきです。わたしは、情報セキュリティこそ前向きで戦略的に実施すべき先行投資だと考えています。

　他社との差別化は、さまざまな製品やサービスで行われますがセキュリティも同じだと思います。「安かろう、悪かろう」という程度のセキュリティ対策は無いも同然です。「法律をクリアする程度でいい（実際はそのレベルにも達していない会社が散見される）と考えるなら、それなりの会社にしかならないでしょう。セキュリティ投資の効果を表面的に把握するのは難しく、「うまくいって当たり前」という性質のものであるのはわたしも十分に理解しています。

　それでも、「ライバルに勝ちたい」「この業界でトップになりたい」という意識があれば、他社と違う優位性を作るべきで、その一つとしてセキュリティに目を向けてほしいと思います。世界の数多くの企業では、セキュリティに対する意識が国内企業の多くの経営者が持つ認識を遥かに上回る状況です。