EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

今からはじめる、情報セキュリティ対策再構築のすすめ

  2008/10/07 15:00

企業は今、原材料や燃料費の高騰で早急なコスト削減を迫られている。そのような中、情報セキュリティ対策においては、単純なコストカットだけでなく、レベルを損なわないことが求められる。それには、攻めの対策で知的生産性を向上させなければならない。企業の命運を分けるのは「攻撃的な統合」へ向けたセキュリティ対策の再構築である。企業競争力を持って生き残っていくには、具体的にいかなる手段が考えられるのか。

セキュリティ対策の「ありがちな状態」

綜合警備保障株式会社 参与 三輪信雄氏
綜合警備保障株式会社 参与 三輪信雄氏

 情報セキュリティ対策に関連して企業は、「ウイルス」、「フィッシング」、「個人情報保護」、「 JSOX」、等々、さまざまなキーワードに動かされてきた。最近では、「スピア攻撃」、「ゼロデイアタック」といった言葉がよく聞かれる。

 特別セッションで「今から始める、情報セキュリティ対策再構築のすすめ」と題して講演した綜合警備保障の三輪信雄氏は、初めに「ありがちな状態」として、そのようなキーワードを取り上げ、「毎年、新しいキーワードが出てくる状況」と前置きして、「対策の時間と労力がほとんど、個人情報の『棚卸』と『教育』に割かれている。また、ポスターを貼ったり、認証取得を目的にしたり、ノートPCの持ちだしやUSBメモリーの使用禁止など不便にする方向で、対策を講じた気になっている」と、「ありがちな状態」を指摘。

 次に、情報セキュリティのコスト問題に言及。異なるベンダーの製品で構築されているためにその習熟と運用にコストが掛かるといった情報セキュリティ投資の問題、及び深い知識、高度な技術力、非常時の対応力などを持った人材に掛かる人的コスト問題について分析。また、情報セキュリティを強化するための各種の禁止事項も生産性を下げているとして、これもコスト問題に加えた。

 これらの問題の解決策として、三輪氏は「いちばんシンプルな対策としては、情報セキュリティシステムの再編成と統合がある」と述べ、「ITだけでなく、人間にかかわる物理的セキュリティも統合すべきである」と付け加えた。また、アウトソーシングも有効性を高めつつコストを削減できる可能性がある」と語り、さらに「シンクライアントなど、新しい技術の導入も攻めの対策」として、「(以上の策を)うまく使っていけば、効率と有効性を維持・向上させながらコストを削減することができる」と、指摘した。

 

広がる対象範囲、進む統合

 三輪氏は、「これまでの情報セキュリティは、個人情報保護プラス機密情報保護までであったが、これからは対象範囲が広がる」とした上で、広がりの第一に「可用性+BCP対応」を挙げた。NISCの次期セキュリティ基本計画へ向けた第一次提言でも、情報セキュリティのレベルではなく、障害や事業継続性確保などの事後対応へ目が向けられていると言う。BCPについては「コストが掛かるので、日常的にも役立つBCPが投資としては望ましいのではないか」と提言。

 また、「取引先を含めたインフォチェーン全体」を取り上げ、「問題は情報格差の拡大にある。広く普及させるためには業界としても安価な製品やサービスを考えなければならないだろう」と示唆した。

 対象範囲が広がる中、攻めの対策として進みつつあるのが前述のセキュリティシステムの統合である。その一つとして、三輪氏は監視カメラや入退室管理など、物理的セキュリティの有効性を挙げた。ただしITと物理的セキュリティとの連携においては「共通プロトコル化が不可欠」と、喫緊の課題も提起。また、物理と併せて、「統合監視センター」の効率性についても紹介した。そうなると、情報セキュリティ部門は社長室に設置する、 CISOは専任とするなど、組織の問題にも波及する。

 この点に関しては、「情報セキュリティは独立した分野ではなくなるので、責任者は、経営感覚を持ったより経営者に近い人物が望ましい」と訴えた。この点も今後の課題であろう。

 三輪氏は最後に、「経営者は、これらの諸問題の一面だけを合わせるのではなく、全面を一度に合わせることが必要。そのような経営者のいる会社が今後も生き残っていくのではないか」と、自らの企業経営者の経験を踏まえて述べた。



著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

バックナンバー

連載:IT Compliance Reviewスペシャル

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5