まず情報セキュリティに投入するお金は、「経費」ではなく「戦略的投資」と考えて事業計画を構築してほしいということだ。いまや情報セキュリティを考慮せず事業を計画することは、あり得ない。ただし、その投資に限度はなく、経営者には「安心・安全」を保持するために必要な金額をできだけ抑えるというさじ加減が求められる。そこは情報セキュリティ専門家の出番になる場面だろう。
また、効果的なセキュリティ対策に取り組む組織では金融機関や上場企業を中心に、「CSIRT」を立ち上げるところが急増している。内閣サイバーセキュリティセンターなどが2012年に、「情報セキュリティ対策のための統一基準群」として記載したのが大きなきっかけとなった。現在は、その流れが中堅企業などにも波及しつつあり、好ましい傾向といえる。
ただ、セキュリティ対策の要とは、攻撃者から見た場合にターゲットにされにくいシステムやネットワーク、Webサイトにしておくことだ。そのための費用の限界は、同業他社と比較して「防御壁が10センチだけ高くしておく」ことである。しょせん100%の防御は無理であり、むしろ「攻撃対象になりづらい」体制にしておくことが必要だ。万一攻撃されても被害を極小化、無害化することが重要であり、そこで効果的なのがCSIRTだ。
ただし、CSIRTが“独りよがり”では意味がない。その企業の体制、経営側の理解、従業員教育などがキーワードであり、自社にとって最も効果的なセキュリティ対策がどのようなものであるかを理解し、そのためにどのようなCSIRTにするのかを検討していただきたい。
最近話題になった「新・所得倍増論」(デービッド・アトキンソン著、東洋経済新報社刊)でも取り上げられているが、日本人の生産性は先進国では最下位にあるという。そして、従業員の品質は高いとされている。つまり、最も改善すべきは経営者であり、経営者はその事実を認めないといけない。
これまで多くの企業経営者が「単に金がかかるだけだ」として情報セキュリティを毛嫌いしてきた。しかし、今では情報セキュリティが経営の武器になっており、これからはかつての意識を180度転換する経営者が登場していくと思われる。2017年は情報セキュリティを理解する経営者と理解しない(できない)経営者に、二極化していくだろう。
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
Copyright © ITmedia, Inc. All Rights Reserved.