現状把握なきプランは無意味：オンラインセミナー「セキュリティ対策 5つの鉄則」

さまざまなセキュリティ対策を施しても、有効性は今ひとつあがらない――なぜ企業はこうした状況に陥ってしまうのか、その原因をインターネット セキュリティ システムズの高橋正和氏にを聞いた。さらなる詳細は6月6日開催のオンラインセミナー「セキュリティ対策　5つの鉄則」にて。

[ITmedia]

　「セキュリティポリシーの役割を否定するつもりはない。しかし、そこに魂を入れていくにはどうしたらいいのか、その部分を考えるべきではないか」――インターネット セキュリティ システムズ（ISS）のCTO兼エグゼクティブ・セキュリティ・アナリスト、高橋正和氏はこのように指摘する。

　相次ぐ情報漏えい事件やマルウェアや不正アクセスによる被害、個人情報保護法の完全施行といった動きを背景に、企業のセキュリティに対する姿勢は5〜6年前に比べると明らかに向上したと言えるだろう。

　例えばNRIセキュアテクノロジーズの調査によると、企業におけるウイルス対策ソフトやファイアウォールの導入比率は9割を超えるに至った。別のIDC Japanの調査でも、ウイルス対策の導入比率は91.6％、ファイアウォール／VPNも68.3％に達している。また、全社を挙げて情報セキュリティマネジメントシステム（ISMS）認証やプライバシーマークの取得に取り組むところも少なくない。

　にもかかわらず、セキュリティ対策が有効に機能している、と実感できている人は少ないのではないだろうか。

セキュリティは事業計画の一環

　その理由を高橋氏は「『あるべき論』になっており、現状なきプランにとどまっているからではないか」と述べる。

　「セキュリティをプランから始めてはいけない。セキュリティはそもそも事業計画の一環であり、それと紐づけて考えていくべき」（同氏）

　中には、ISMS認証取得の目的を尋ねられて「もうけるため」と即答する企業もあったという。高橋氏はこの姿勢について、「セキュリティが一人歩きする状況に比べると、『ビジネス上必要だから取得する』というのは立派な事業判断であり、ある意味正しいもの」だという。

　というのも、ビジネス上の必要に迫られるならば「顧客からはどういった要求があるのか」「万一事故が発生した場合はどう対応すべきか」といった事柄を真剣に、具体性を持って考えることになる。そうなれば、取り組むべき事柄やプランが具体的な姿を持つことになる。

　社会貢献の一環として、あるいは企業ガバナンスの一環としてのセキュリティという考え方も重要だが、それ以上に、企業の事業目的とセキュリティが紐付かなければ、有効なセキュリティ対策は実現できない。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***