セキュリティ対策に生かす情報活用の勘所：萩原栄幸の情報セキュリティ相談室（1/3 ページ）

無料セミナーやネット記事など、ほしい情報を気軽に入手できる機会が広まった。うまく活用できれば良いが、一歩間違えるとトンデモないことになりかねない。特に「自分は大丈夫！」と過信しがちな企業の経営層に注意したい。

[萩原栄幸，ITmedia]

　最近の経営者は、昔に比べてIT系の知識に詳しい。自らスマホを駆使し、アプリを活用してビジネスに生かしている。この事自体はとても喜ばしい。しかし、そのことに過信して傲慢になっている方も増えつつある。情報セキュリティの分野に対しても同様だ。そこで今回は、実例を踏まえて企業の経営者を焦点にしたアドバイスをお届けしたい。

社長がセキュリティセミナーに

　先日のこと、筆者はA社の社長室に呼ばれた。早速訪れると社長はこう話された。

　「昨日、社長会の友人に誘われて内部犯罪対策セミナーに参加したが、そこで紹介された○○というシステムは、すばらしいじゃないか！　費用はやや高いが、わが社に導入できなくもない。萩原さんから評価してもらえないだろうか」

　社長が好奇心でもって熱心に勉強されるのは良い。ただ、この社長も周囲が見えていない様子である。

　実は、A社ではコンプライアンス部や情報システム部がプロジェクトを立ち上げ、筆者もオブザーバーとして参加していた。プロジェクトでは基幹システムとその周辺システムのセキュリティ状況についてすべて棚卸しを行い、セキュリティ全体を今後どうすべきか、特に脆弱なシステム間のインタフェースをどう解決するか、最近注目される内部犯罪にもどう備えていくべきかといった点を検討しているところだった。

　社長もそのプロジェクトを把握している。しかし、○○システムを販売している企業スポンサーの無料のセミナーに参加して盲目的になっていた。「これしかない！　いつ導入するの！　いまでしょ！」という、あまりにも単純な発想で筆者に相談されたのである。

　もちろん、企業スポンサーの無料セミナーが悪いというわけではない。利用の仕方によっては、極めて安価に最新の情報が入手できるし、担当者との検討においても検討の幅が広がる。ただし、それには注意が必要である。

　筆者自身もこうしたセミナーで講演をする機会は多い。そこではプロとして超えてはいけない壁があると考え、情報セキュリティのコンサルタントとして活動した中から、「この業者はよくない」「この製品はとても不安定」と感じたケースについては、講演をお断りしている。筆者が評価できていない場合でも、まず自分自身で調べて検証する。時にはNDA（秘密保持契約）をメーカーと締結して、理論的にでも製品が納得のいくものであれば、それを前提に講演を引き受けている。

　ところが、ごく一部の“自称専門家”が無責任に製品をほめるようなことを平気でしている。筆者は、時間の許す限り参加者の立場で無料セミナーを聴講しているが、そこに登壇する“自称専門家”の発言に、「それは誤り」「論理的な（効果）検証がされていない」「言っていることは実は反対だろう……」というものが散見される。

　プロとして、スポンサーの意向を尊重することも求められる。だが、そのスポンサーの意向と自分の考えが相容れないのであるなら、そこは理由を言わずとも、協力をすべきではないだろう。自分がコンサルティング先の企業に提供している内容とは反対のことをセミナーで話せば、顧客はどちらを信じていいか、分からなくなる。