疲弊する情報セキュリティの現場と「無知な」社長の心の内ハギーのデジタル道しるべ(2/2 ページ)

» 2016年10月14日 08時00分 公開
[萩原栄幸ITmedia]
前のページへ 1|2       

経営側のホンネとは?

 一般的な企業・団体の経営者が「情報セキュリティ」に対して持つイメージを挙げてみよう。

  • 収益に直結しない
  • 何に金や人を投入しているのか、ほとんどが意味不明
  • 目に見える実績がない(貴重な金を使いたくない)

 そう、ほとんどの経営者の目にはセキュリティが単なる経費や固定費にしか映らない。セキュリティの仕事は、「費用対効果」という経営者にとって当たり前の発想に全く相応しくないのだ。彼らにとって、会社や団体がトラブルなく運営されるのは当たり前のことであり、その当たり前を維持するために、多くのお金を費やすことなど理解できない。

これからの考え方

 だが一部の賢い経営者は、情報セキュリティの費用を「戦略的投資」「競合に勝つ必須アイテム」「企業存続ため重要なリソース」と考えるようになってきた。いままでの「必要だから」ではなく、「わが社が大きく飛躍するために先行投資」という発想だ。

 そんな革新的な経営者は、いっそうのこと現場がびっくりするくらいの巨大な投資計画を示してみてはいかがだろうか。少なくとも先進国の中では最下位になると思われる売上に対する情報セキュリティ予算を大きく引き上げるべきだ。その先行投資は、ほぼ間違いなく将来の大きな「実」になる。

 その投資も、まずは「人」にあてるべきだ。セキュリティに関する潜在的なスキルを持っている人でも、いきなり現場でログを分析したり、ネットワークやデータベースを制御したりできるわけではない。現場で先輩社員の仕事を見ながらOJTでスキルを育てることも必要だが、普遍的な論理や技術的な形態を学習することも極めて重要になる。そのことに経営側も現場の管理者も気が付いてほしい。

 日本年金機構で情報漏えいが発生した際、同時に1000社以上がサイバー攻撃を受けたといわれる。しかしそれらの中で攻撃に気が付き、監督官庁や業界団体に報告したところはわずかしかなかった。

 数年前、筆者は米国の高官に「日本ではどうみても毎年1000億円以上のもの価値ある情報が盗まれているのに、だれも声を上げないし政府がその具体的な対応策すらとろうともしていない。不思議な国だ」と語っていた。現場が「なにかおかしい」と経営に直訴し、セキュリティ専門会社が調べれば、ほぼ間違いなく情報漏えいの痕跡やバックドアが見つかり、情報がちょろちょろと漏れ続けているという証拠も発見されるという。

 経営側はいい加減、その現実に気が付かなければならない。現場担当者のスキルの底上げを計画的に実行し、営業費をある程度削減してでも現場が求めている情報セキュリティ対策に必要な資金に回す中長期的な視野に基づいた采配を求めたい。

 「無知は罪悪」という言葉がある。目に見えにくい情報セキュリティの本当の怖さを実感するのが、謝罪記者会見を開く前日というのではあまりにも情けない。

「セキュリティに関心がない」というみなさん。次に頭を下げるのはあなたかも?(写真はイメージです)

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ