「セキュリティは大切だ」と言いながら、実際に強化している企業や団体はほとんどない。疲弊する現場に対して、あまりに残念すぎる経営者の感覚とは――。
最近、経営者向けの講演依頼が多く、依頼されるテーマは「経営者への警告+情報セキュリティ」という組み合わせである。先月(2016年9月)はこの種の依頼が半数を占めた。今回はこうした背景から経営者に意見してみたい。
仕事柄、筆者はさまざまな企業や団体で情報セキュリティをメインに仕事をされている方々との接点が多く、時には深夜まで一緒に作業している。20年近くコンサルタントの仕事をしてきた中で気が付くのは、「建前」と「本音」があまりに違うことだ。
テレビ局や新聞社が取材すると、どの企業や団体も経営側はほぼ一様にこう話す。
「わが社は情報セキュリティの重要性は認識している」
「情報セキュリティの強化に最優先で取り組んでいる」
しかし、その実態はどうだろうか。
情報セキュリティ部門の陣容(人)、予算(金)、機材(物)、仕事内容について10年以上前と現在を比べてみると、情報漏えいやサイバー攻撃に実際に遭遇してしまった団体・企業を除けば、陣容では横ばいか微増、予算では横ばいか微減という状況だ。業務に必要な機材などは「使い倒す」というのが基本にもなっている。
しかし仕事内容は、この10年間でその幅が大きく広くなり、深くなっている。残念なことに、経営側がその変化に気が付くことはほとんど稀(まれ)である。企業や団体によって異なるが、この10年の間に登場した情報セキュリティ部門の仕事は以下のものがあるだろう。
現場ではこういう対応を必死に行っているが、人は微増というレベルだ。効率的な作業を実施していても、「せめて10年前の2倍の人員はほしい……」と考えている現場管理者は非常に多い。それに加えて、作業担当者のスキルが悲しくなるほどに低下していると悩む人も多く、筆者も現場で作業してそう痛感する場面が少なくない。
Copyright © ITmedia, Inc. All Rights Reserved.