セキュリティ対策の「ありがちな状態」
情報セキュリティ対策に関連して企業は、「ウイルス」、「フィッシング」、「個人情報保護」、「 JSOX」、等々、さまざまなキーワードに動かされてきた。最近では、「スピア攻撃」、「ゼロデイアタック」といった言葉がよく聞かれる。
特別セッションで「今から始める、情報セキュリティ対策再構築のすすめ」と題して講演した綜合警備保障の三輪信雄氏は、初めに「ありがちな状態」として、そのようなキーワードを取り上げ、「毎年、新しいキーワードが出てくる状況」と前置きして、「対策の時間と労力がほとんど、個人情報の『棚卸』と『教育』に割かれている。また、ポスターを貼ったり、認証取得を目的にしたり、ノートPCの持ちだしやUSBメモリーの使用禁止など不便にする方向で、対策を講じた気になっている」と、「ありがちな状態」を指摘。
次に、情報セキュリティのコスト問題に言及。異なるベンダーの製品で構築されているためにその習熟と運用にコストが掛かるといった情報セキュリティ投資の問題、及び深い知識、高度な技術力、非常時の対応力などを持った人材に掛かる人的コスト問題について分析。また、情報セキュリティを強化するための各種の禁止事項も生産性を下げているとして、これもコスト問題に加えた。
これらの問題の解決策として、三輪氏は「いちばんシンプルな対策としては、情報セキュリティシステムの再編成と統合がある」と述べ、「ITだけでなく、人間にかかわる物理的セキュリティも統合すべきである」と付け加えた。また、アウトソーシングも有効性を高めつつコストを削減できる可能性がある」と語り、さらに「シンクライアントなど、新しい技術の導入も攻めの対策」として、「(以上の策を)うまく使っていけば、効率と有効性を維持・向上させながらコストを削減することができる」と、指摘した。
広がる対象範囲、進む統合
三輪氏は、「これまでの情報セキュリティは、個人情報保護プラス機密情報保護までであったが、これからは対象範囲が広がる」とした上で、広がりの第一に「可用性+BCP対応」を挙げた。NISCの次期セキュリティ基本計画へ向けた第一次提言でも、情報セキュリティのレベルではなく、障害や事業継続性確保などの事後対応へ目が向けられていると言う。BCPについては「コストが掛かるので、日常的にも役立つBCPが投資としては望ましいのではないか」と提言。
また、「取引先を含めたインフォチェーン全体」を取り上げ、「問題は情報格差の拡大にある。広く普及させるためには業界としても安価な製品やサービスを考えなければならないだろう」と示唆した。
対象範囲が広がる中、攻めの対策として進みつつあるのが前述のセキュリティシステムの統合である。その一つとして、三輪氏は監視カメラや入退室管理など、物理的セキュリティの有効性を挙げた。ただしITと物理的セキュリティとの連携においては「共通プロトコル化が不可欠」と、喫緊の課題も提起。また、物理と併せて、「統合監視センター」の効率性についても紹介した。そうなると、情報セキュリティ部門は社長室に設置する、 CISOは専任とするなど、組織の問題にも波及する。
この点に関しては、「情報セキュリティは独立した分野ではなくなるので、責任者は、経営感覚を持ったより経営者に近い人物が望ましい」と訴えた。この点も今後の課題であろう。
三輪氏は最後に、「経営者は、これらの諸問題の一面だけを合わせるのではなく、全面を一度に合わせることが必要。そのような経営者のいる会社が今後も生き残っていくのではないか」と、自らの企業経営者の経験を踏まえて述べた。
