「当社をサイバー攻撃してくれないかなぁ」 コスパ企業の担当者が漏らした本音：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

　実際に筆者が経験したものでも、「新たにBYOD（私物の情報機器を仕事に使うこと）を検討する」という会社でコンサルティング契約を交わした際に、担当者にこう念を押された。

　「萩原さん、くれぐれも契約範囲のBYODだけにしてください。うちの社長は萩原さんの講演を聞いており、結構お気に入りなので下手すると、情報セキュリティ部門全体にまで『ちょっと見てくれないか？』と言いだし兼ねないのです」

　そこで彼らがスキル不足、経験不足と評価されてしまうような事態になると、費用対効果の視点などから現状の予算を削減するに決まっているのだという。

　「ただですら人員削減、予算削減が平気で行われて、とても仕事がやりづらくなっています。もしコンサルティングで今までの仕事が否定され、全く別の業務フローを強いられれば、付いてこれなくなる人はみな指名解雇予備軍になるだろうと恐れています」

　筆者は発言を聞いて「う〜〜〜ん」と唸ってしまった。この担当者は筆者のセミナーに何回も足を運んでいただいた方なので、顔を見れば会話をするくらいの仲にはなっていた。筆者に依頼した経営陣は、全く知らない関係だ。彼の発言を「自己中心的」とか、「自分勝手」だと否定するのは簡単だし、それが正論に近いだろう。だが、筆者はその場では文字通り「唸る」しかできなかった。

　情報セキュリティは、防衛省で講演されたある高官の立場と同じだと思う。つまり、その高官は「自衛隊はその役割を遂行することがあってはならない。私たちは『無用の長物』でいることを誇りに思っているし、未来永劫そうあってほしい。私たちが本来の職務を全うするということは多くの国民が犠牲になっていることを意味するからだ」と話した。情報セキュリティもそうなのだ。

　その企業がまっとうに営業活動をできて、ネット通販での商売も順調に伸びて、従業員のモラルが向上して、ネットもリアルも犯罪の匂いをさせない――つまり何もやましいことがない――それが私たち情報セキュリティに関与する人間にとって最も勲章とすべき「成果」である。これを「情報セキュリティは金も人も結構かかるくせに何もしていない」と受け止めてはいけないだろう。この組織が勤勉に業務をこなしているからこそ、企業の基盤が揺らがないことにつながるのである。

　それを物差し1つで計測する行為は残念で仕方がない。セキュリティ部門を「金喰い組織」と見なす経営者の考え方は浅はかだろう。ぜひ、異なる物差しや第三者の冷静な現状調査による評価を重視すべきだと思う。

　最後に情報セキュリティの管理者にお伝えしたい小ワザを少しだけ。

1.企画書、稟議書は論理で責めても通りにくい。実際にセキュリティ対策を怠った企業がどうなったのか、マスコミにどう報道されたのかという事例を発見し、「うちはそうなってはいけないですよね」という発想で攻める

2.普段の作業は地味なので、極力「見える化」する。小まめに資料や統計情報、IPAからの通告文書の横展開、「今月のWebサイトへのアタック件数（PINGだけでもいいかも）」など、小さな努力を積み重ねて周囲に分かってもらう

3.最も重要なのは従業員と経営者への教育。やればやるだけ、「あそこは頑張っている」「なるほど、自宅でも注意した方がよさそうだ」と思わせることができれば成功。一部の企業では隔月で従業員と役員を別々に教育して、取締役からは高い好感度を得ている

4.（PRではないが）できれば外部の専門家を交えて、助言や指導を仰ぎ、予算強化を含む検討に生かす

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。