疲弊する情報セキュリティの現場と「無知な」社長の心の内ハギーのデジタル道しるべ(1/2 ページ)

「セキュリティは大切だ」と言いながら、実際に強化している企業や団体はほとんどない。疲弊する現場に対して、あまりに残念すぎる経営者の感覚とは――。

» 2016年10月14日 08時00分 公開
[萩原栄幸ITmedia]

 最近、経営者向けの講演依頼が多く、依頼されるテーマは「経営者への警告+情報セキュリティ」という組み合わせである。先月(2016年9月)はこの種の依頼が半数を占めた。今回はこうした背景から経営者に意見してみたい。

疲弊しつつある情報セキュリティの現場

 仕事柄、筆者はさまざまな企業や団体で情報セキュリティをメインに仕事をされている方々との接点が多く、時には深夜まで一緒に作業している。20年近くコンサルタントの仕事をしてきた中で気が付くのは、「建前」と「本音」があまりに違うことだ。

 テレビ局や新聞社が取材すると、どの企業や団体も経営側はほぼ一様にこう話す。

「わが社は情報セキュリティの重要性は認識している」

「情報セキュリティの強化に最優先で取り組んでいる」

 しかし、その実態はどうだろうか。

10年で仕事増えてもリソース増えず……(画像はイメージです)

 情報セキュリティ部門の陣容(人)、予算(金)、機材(物)、仕事内容について10年以上前と現在を比べてみると、情報漏えいやサイバー攻撃に実際に遭遇してしまった団体・企業を除けば、陣容では横ばいか微増、予算では横ばいか微減という状況だ。業務に必要な機材などは「使い倒す」というのが基本にもなっている。

 しかし仕事内容は、この10年間でその幅が大きく広くなり、深くなっている。残念なことに、経営側がその変化に気が付くことはほとんど稀(まれ)である。企業や団体によって異なるが、この10年の間に登場した情報セキュリティ部門の仕事は以下のものがあるだろう。

  • モバイル端末のセキュリティ、ポリシー策定
  • サイバーセキュリティ強化策の対応
  • スマートフォン利用規則の制定
  • クラウドの導入検討+実装
  • BYOD(個人端末の業務利用)の導入検討+運用
  • 渉外用タブレットの導入検討
  • ビッグデータ活用を推進する具体策の検討
  • LINE活用の検討
  • 企業SNSの導入
  • マイナンバー対応
  • サイバー攻撃対策
  • 標的型メール攻撃対策
  • ランサムウェア対策検討+実装
  • 内部不正の防止強化策の検討
  • CSIRT対応
  • FinTechの検討
  • IoTの検討
  • AR(拡張現実)やVR(仮想現実)など視覚技術を使った新しいコンテンツの発掘
  • 「地域創生+自社技術+ITベンチャーのアイデア」を活用した企画の検討

 現場ではこういう対応を必死に行っているが、人は微増というレベルだ。効率的な作業を実施していても、「せめて10年前の2倍の人員はほしい……」と考えている現場管理者は非常に多い。それに加えて、作業担当者のスキルが悲しくなるほどに低下していると悩む人も多く、筆者も現場で作業してそう痛感する場面が少なくない。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ