第40回 なぜ日本で理想的なセキュリティ対策が実現しないのか？：日本型セキュリティの現実と理想（4/5 ページ）

[武田一城，ITmedia]

セキュリティ対策の本質となるもの

　繰り返すが、企業・組織自体や技術立国としての日本の国益と将来性を考えても、機密情報の漏えいは深刻である。しかし、日本における情報の保護は個人情報に偏重しており、非常に危険な状況だろう。

　個人情報偏重の理由は、先述の罰則とメディアやSNSなどでの非難――つまりは、「怒られるから」という単純な動機にたどり着いてしまう。また、目に見えないサイバー攻撃は複雑で怖いという感覚から、当事者が真剣に向き合いたくないという心理も働くのだろう。しかし、これではセキュリティ対策に本来求められるリスク管理ができていないと白状しているようなものだ。

　本来セキュリティ対策をするには、その企業や組織にとって大事な情報やその所在を理解していなければならない。そして、失われたり盗られたりした場合に何が起こるかを認識していなければ、対策にどのくらいのコストや人的リソースを割り当てるかも決められない。それらをせず、個人情報保護法を理由に個人情報だけしか守らない企業や組織は、質量ともに増大し続ける脅威が渦巻く経営環境の中で、生き残っていくことは難しいだろう。

　つまり、セキュリティ対策はリスク管理の考え方をベースにしなければならないのだ。要は「何を守るべきか」「守れなかったらどうなるのか」ということをしっかりと認識することが重要だ。それができれば、セキュリティ対策の手法や方法論などの内容を詰めるだけとなり、優先順位をつけ、適切に行うことができるだろう。個別のセキュリティ対策製品をどうするかなどの方法論よりも、この意思決定こそがセキュリティを高める上で重要だ。