疲弊する情報セキュリティの現場と「無知な」社長の心の内:ハギーのデジタル道しるべ(2/2 ページ)
「セキュリティは大切だ」と言いながら、実際に強化している企業や団体はほとんどない。疲弊する現場に対して、あまりに残念すぎる経営者の感覚とは――。
経営側のホンネとは?
一般的な企業・団体の経営者が「情報セキュリティ」に対して持つイメージを挙げてみよう。
- 収益に直結しない
- 何に金や人を投入しているのか、ほとんどが意味不明
- 目に見える実績がない(貴重な金を使いたくない)
そう、ほとんどの経営者の目にはセキュリティが単なる経費や固定費にしか映らない。セキュリティの仕事は、「費用対効果」という経営者にとって当たり前の発想に全く相応しくないのだ。彼らにとって、会社や団体がトラブルなく運営されるのは当たり前のことであり、その当たり前を維持するために、多くのお金を費やすことなど理解できない。
これからの考え方
だが一部の賢い経営者は、情報セキュリティの費用を「戦略的投資」「競合に勝つ必須アイテム」「企業存続ため重要なリソース」と考えるようになってきた。いままでの「必要だから」ではなく、「わが社が大きく飛躍するために先行投資」という発想だ。
そんな革新的な経営者は、いっそうのこと現場がびっくりするくらいの巨大な投資計画を示してみてはいかがだろうか。少なくとも先進国の中では最下位になると思われる売上に対する情報セキュリティ予算を大きく引き上げるべきだ。その先行投資は、ほぼ間違いなく将来の大きな「実」になる。
その投資も、まずは「人」にあてるべきだ。セキュリティに関する潜在的なスキルを持っている人でも、いきなり現場でログを分析したり、ネットワークやデータベースを制御したりできるわけではない。現場で先輩社員の仕事を見ながらOJTでスキルを育てることも必要だが、普遍的な論理や技術的な形態を学習することも極めて重要になる。そのことに経営側も現場の管理者も気が付いてほしい。
日本年金機構で情報漏えいが発生した際、同時に1000社以上がサイバー攻撃を受けたといわれる。しかしそれらの中で攻撃に気が付き、監督官庁や業界団体に報告したところはわずかしかなかった。
数年前、筆者は米国の高官に「日本ではどうみても毎年1000億円以上のもの価値ある情報が盗まれているのに、だれも声を上げないし政府がその具体的な対応策すらとろうともしていない。不思議な国だ」と語っていた。現場が「なにかおかしい」と経営に直訴し、セキュリティ専門会社が調べれば、ほぼ間違いなく情報漏えいの痕跡やバックドアが見つかり、情報がちょろちょろと漏れ続けているという証拠も発見されるという。
経営側はいい加減、その現実に気が付かなければならない。現場担当者のスキルの底上げを計画的に実行し、営業費をある程度削減してでも現場が求めている情報セキュリティ対策に必要な資金に回す中長期的な視野に基づいた采配を求めたい。
「無知は罪悪」という言葉がある。目に見えにくい情報セキュリティの本当の怖さを実感するのが、謝罪記者会見を開く前日というのではあまりにも情けない。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
- かっこいいサイバー攻撃対策とかより先にやるべきセキュリティ対策
マスコミでもサイバー攻撃が取り上げられるようになり、その対策がブームになった。しかし職場にはサイバー攻撃に狙われるよりも残念な状況があちらこちらにある。まずは先にやってほしい対策のポイントを紹介したい。 - 年金機構事件から1年、日本が至急やるべき10の対策と心構え
社会を震撼させたサイバー攻撃による日本年金機構での情報漏えいから1年が過ぎた。残念ながら企業・組織の意識やと対策行動が大きく改善する兆しは見えない。ただちにやるべきこととは何かを挙げる。 - 「使えないシステムにカネ消えた……」 そんな状況を変えるには?
日本はIoTやビッグデータといった新しいモノが好きだ。そんな企業のトップからは、情報セキュリティの仕事にちょっと後悔を感じるほどの残念な声を聞く。だからこそ、新しいモノを失敗させない方法を提示してみたい。 - リオ五輪のセキュリティ事情から学ぶ東京五輪への対策
リオ五輪ではセキュリティ界隈の話題も豊富(?)なようだ。今回は現地の情報セキュリティの状況から、4年後の東京五輪における対策のヒントを探ってみたい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.