ここがヘンだよ企業の情報セキュリティ 経営視点で再考する本質
ホットな脅威への対策ばかりがいつも注目を集めるが、本当にそれで良いのだろうか。内部・外部という視点を含めて企業におけるセキュリティ対策の問題点を萩原栄幸氏が指摘する。
「当社の情報セキュリティは大丈夫かな……。」企業のセキュリティ管理者がいつも頭を抱える悩み事の一つではないだろうか。自社を取り巻くセキュリティの脅威は刻一刻と変化するので対応に追われる。しかし、上層部からは「利益にならない」とコスト削減を迫られる。
10月23日に開催されるセミナーでは日本セキュリティ・マネジメント学会常任理事で、ITmediaでも数多くの人気記事の執筆を手掛けている萩原栄幸氏が、「ここがおかしい!経営者目線での情報セキュリティ対策」と題し、企業の情報セキュリティにおける問題に深く切り込む。現場と経営で大きく異なる情報セキュリティの視点の違いについて、例えばサイバー攻撃のような「外部脅威」ばかりが注目されるが、実は関係者の不正行為といった「内部脅威」の方が遥かに深刻である。この事実はほとんど知られていない。
そんな感覚で設計された某企業のアクセス権限設定はひどいものである。それを示すと、社長と会長は100%、部長は80%、主任は60%、一般従業員は50%といった具合で、この企業は「きめ細かく権限を管理すれば大丈夫」と考えていたようだ。まさに本質を理解していないケースの代表例だろう。
ある金融機関では顧客全員にワンタイムパスワードを配布していた。そこのトップは「これなら毎回パスワードが違いから安心だ」と話す。ある対策を導入すれば無事解決と思ったのだろうか……。
また、ある企業の社長は教育方針から中学生になる子どもに携帯電話もスマホも与えていないという。さすがにそれは不満が出るだろうとのことで、「携帯電話会社との契約が切れたスマホを与えているよ。だってオモチャじゃないか!」と自慢気に話された。確かに携帯電話のネットワークにはつながらないのだろうけど……。
ITmediaエンタープライズ編集部が協力し、10月22〜23日に開催されるセキュリティセミナー「2日間で習得するサイバーリスクの最前線とセキュリティの最適解」では、情報セキュリティ分野の第一人者である萩原栄幸氏が、20年以上もの経験から企業における対策の本質論について警鐘を鳴らしていく。同氏の講演から、まさに「目からウロコ」の事実を知ることができるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.