第40回 なぜ日本で理想的なセキュリティ対策が実現しないのか?:日本型セキュリティの現実と理想(4/5 ページ)
この連載を1年8カ月にわたってお届けしてきた。最終回は、主題である「日本型セキュリティの現実と理想」について言及しながら、日本のセキュリティ対策が理想的なものにならない理由と理想的なものにしていくための方向性を筆者なりに示してみたい。
セキュリティ対策の本質となるもの
繰り返すが、企業・組織自体や技術立国としての日本の国益と将来性を考えても、機密情報の漏えいは深刻である。しかし、日本における情報の保護は個人情報に偏重しており、非常に危険な状況だろう。
個人情報偏重の理由は、先述の罰則とメディアやSNSなどでの非難――つまりは、「怒られるから」という単純な動機にたどり着いてしまう。また、目に見えないサイバー攻撃は複雑で怖いという感覚から、当事者が真剣に向き合いたくないという心理も働くのだろう。しかし、これではセキュリティ対策に本来求められるリスク管理ができていないと白状しているようなものだ。
本来セキュリティ対策をするには、その企業や組織にとって大事な情報やその所在を理解していなければならない。そして、失われたり盗られたりした場合に何が起こるかを認識していなければ、対策にどのくらいのコストや人的リソースを割り当てるかも決められない。それらをせず、個人情報保護法を理由に個人情報だけしか守らない企業や組織は、質量ともに増大し続ける脅威が渦巻く経営環境の中で、生き残っていくことは難しいだろう。
つまり、セキュリティ対策はリスク管理の考え方をベースにしなければならないのだ。要は「何を守るべきか」「守れなかったらどうなるのか」ということをしっかりと認識することが重要だ。それができれば、セキュリティ対策の手法や方法論などの内容を詰めるだけとなり、優先順位をつけ、適切に行うことができるだろう。個別のセキュリティ対策製品をどうするかなどの方法論よりも、この意思決定こそがセキュリティを高める上で重要だ。
関連記事
- 第39回 サイバー攻撃で変革を迫られた日本のIT業界事情
サイバー攻撃の巧妙化によって、従来のコンピュータメーカーや通信キャリア、SIerなどの情報システムベンダーではセキュリティ対策が難しくなってしまった。IT業界はセキュリティ人材やセキュリティ企業そのものを取り込む構造変革を進めているが、この業界の生き残り戦略とは何だろうか。 - 第13回 個人情報偏重の日本の漏えい対策、“機密”視点で考えるには?
前回はドラマでも人気の「下町ロケット」を題材に、日本の一般企業で機密情報の厳密な管理は行われていないことやその理由を考察してみた。今回は企業が機密情報の定義や管理をどうすべきかについて述べていく。 - 第3回 「進撃の巨人」で理解する多層防御
標的型攻撃で必要性が叫ばれる「多層防御」。しかし、日本ではあまり浸透しない。その理由を「進撃の巨人」の世界から探ってみたい。 - 【新連載】セキュリティインシデントが繰り返される理由
セキュリティ対策をしているにもかかわらず、標的型攻撃による情報漏えいなどのインシデントが後を絶たないのはなぜか――。業界通の筆者が、その理由を歴史からひも解く渾身の新連載。
Copyright © ITmedia, Inc. All Rights Reserved.