セキュリティができる会社とできない会社に分かれる理由:ハギーのデジタル道しるべ(2/2 ページ)
2016年は「サイバーセキュリティ」が経営レベルでも語られるようになり、2017年は従来と異なる傾向が出てくるだろう。企業は今年何をしたらいいのだろうか。
2017年に見直すべきセキュリティ対策の内容とは?
まず情報セキュリティに投入するお金は、「経費」ではなく「戦略的投資」と考えて事業計画を構築してほしいということだ。いまや情報セキュリティを考慮せず事業を計画することは、あり得ない。ただし、その投資に限度はなく、経営者には「安心・安全」を保持するために必要な金額をできだけ抑えるというさじ加減が求められる。そこは情報セキュリティ専門家の出番になる場面だろう。
また、効果的なセキュリティ対策に取り組む組織では金融機関や上場企業を中心に、「CSIRT」を立ち上げるところが急増している。内閣サイバーセキュリティセンターなどが2012年に、「情報セキュリティ対策のための統一基準群」として記載したのが大きなきっかけとなった。現在は、その流れが中堅企業などにも波及しつつあり、好ましい傾向といえる。
ただ、セキュリティ対策の要とは、攻撃者から見た場合にターゲットにされにくいシステムやネットワーク、Webサイトにしておくことだ。そのための費用の限界は、同業他社と比較して「防御壁が10センチだけ高くしておく」ことである。しょせん100%の防御は無理であり、むしろ「攻撃対象になりづらい」体制にしておくことが必要だ。万一攻撃されても被害を極小化、無害化することが重要であり、そこで効果的なのがCSIRTだ。
ただし、CSIRTが“独りよがり”では意味がない。その企業の体制、経営側の理解、従業員教育などがキーワードであり、自社にとって最も効果的なセキュリティ対策がどのようなものであるかを理解し、そのためにどのようなCSIRTにするのかを検討していただきたい。
最近話題になった「新・所得倍増論」(デービッド・アトキンソン著、東洋経済新報社刊)でも取り上げられているが、日本人の生産性は先進国では最下位にあるという。そして、従業員の品質は高いとされている。つまり、最も改善すべきは経営者であり、経営者はその事実を認めないといけない。
これまで多くの企業経営者が「単に金がかかるだけだ」として情報セキュリティを毛嫌いしてきた。しかし、今では情報セキュリティが経営の武器になっており、これからはかつての意識を180度転換する経営者が登場していくと思われる。2017年は情報セキュリティを理解する経営者と理解しない(できない)経営者に、二極化していくだろう。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
- サイバー攻撃に遭わない会社は価値がない? セキュリティを真剣に考えてほしい理由
セキュリティの必要性が叫ばれているものの、残念ながら「真剣」に取り組む企業はそれほど多くはない。現場で感じる“見えない”危険の状況から、セキュリティが必要な理由を改めて伝えたい。 - ランサムウェアにマイナンバー、2016年の情報セキュリティ総括・前編
2016年も情報セキュリティの世界ではさまざまな出来事があり、目まぐるしい変化が続いた。2016年の動向を振り返りながら、セキュリティにつながるポイントを挙げてみたい。 - 情報セキュリティの基本も揺るがした問題――2016年の総括・後編
2016年の情報セキュリティを振り返りたいが、それ以前に「情報セキュリティ」の「情報」そのものが脅かされる状況だ。この出来事に筆者なりの考えを述べたい。 - 疲弊する情報セキュリティの現場と「無知な」社長の心の内
「セキュリティは大切だ」と言いながら、実際に強化している企業や団体はほとんどない。疲弊する現場に対して、あまりに残念すぎる経営者の感覚とは――。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.