English

お問い合わせ

BLOG

情報セキュリティ BLOG

業界・業種別セキュリティ対策

経営リスクマネジメントとしての情報セキュリティ

今回より、経営観点から見た情報セキュリティについてブログを書かせていただきます。多少なりとも、読んでいただける皆様の会社の情報セキュリティマネジメントの一助になれれば幸いです。

情報セキュリティ対策と情報セキュリティマネジメント

まず、よく混同されるこの二つ、「情報セキュリティ対策」と「情報セキュリティマネジメント」について見てみましょう。
情報セキュリティ対策とは、情報セキュリティリスクを軽減する対策を行うことです。一方、情報セキュリティマネジメントとは、情報セキュリティリスクを軽減する対策をどこまで行うか、或いは行わないかを判断する行為になります。

情報セキュリティ対策は様々な手法があります。これを取捨選択し、自分たちに最も相応しい対策を選ぶこと、これが情報セキュリティマネジメントです。必要な対策を行う判断を下すことも情報セキュリティマネジメントですが、不必要な対策を行わない判断を下すことも情報セキュリティマネジメントなのです。

このため、情報セキュリティ対策は技術的な側面もあり、対応は現場が中心になりますが、情報セキュリティマネジメントは経営層が中心に動かなければなりません。

情報セキュリティ対策と健康管理

さて、経営者の立場からすると、こう考えている方もおられるかと思います。

「情報セキュリティの営業はたくさん来る。やった方が良い気もするが、全部やったら金がかかりすぎる。だから様子見だ!」

これはあながち間違いとも言い切れません。"やった方が良い気もする"と思うのは当然なのです。セキュリティベンダーも仕事ですから、やった方が良いことをクライアントに勧めています。だからできるならやった方が良いのです。
しかし、「やった方が良いこと」はいくらでもあるのです。全部やっていたらキリがありません。

例えて言えば、こういうことです。

「健康の為に食べた方が良い食品」をたくさん勧められました。健康の為、推奨される食品を片っ端から食べていたら、今度はカロリー摂取超過で肥満になってしまいました。

情報セキュリティ対策も同じです。やった方が良い対策はたくさんあります。ただ、それを全部やっていたら、コストもかかりますし業務効率も落ちてしまいます。ですから、自社に合ったセキュリティ対策は何なのか、リスクを分析し、必要な対策を取捨選択する必要があるのです。

とはいえ、何もしなかったら悪化するだけなのも健康管理と同じです。様子見を続けていては、そのうち大事になります。早めに適切なセキュリティ対策を進めましょう。

食事療法が一人一人違うように、情報セキュリティ対策も一社一社違います。業種・規模・取引先等により、求められる適切な対策は変わってきます。
適切な情報セキュリティ対策を実施するためには、自社の「情報セキュリティ健康状態」を知ることが第一段階となります。

情報セキュリティと交通安全

次は少々視点を変えます。40 代以上の方であれば、就職活動に合わせ、普通自動車免許を取得した方も多いと思います。「仕事で必要なモノやヒト」を運ぶ自動車は、流通や交通が今程発達していなかった時代、社会人に必須でした。仕事で必要だから教習所に通い、道路標識を覚え、内輪差などのリスクを学び、普通自動車免許を取得して、安全運転を心掛けました。

それでも事故は起きるときは起きます。だから会社は、保険をかけますし、意識づけの教育もします。あるいは警察官の講演を依頼することもあるでしょう。社員本人にも、被害者にも、会社にも損害を与える交通事故はなるべく起こさないよう、社員と会社が協力し合って業務を行っているはずです。

では、翻って「仕事で必要な情報」を運ぶインターネットの安全運転はどうでしょう?起こした社員本人にも、被害者にも、会社にも損害を与える情報セキュリティ事故。交通事故対策と同じように、保険をかけていますか?社員教育していますか?専門家の講演で意識づけしていますか?

自社の業務を鑑み、必要な対策を施し、万一事故が起きたとしても対応できるだけの準備を整える。本来、情報セキュリティ対策も交通安全対策も、企業リスクとして同様に扱うべきものなのです。そこさえ理解できれば、自ずと考え方を整理できるはずです。自社の業務や環境を考慮し、必要な対策を選択すれば良いのです。

例えば、運輸業だったら、保険も対人・対物共に高額にしますし、ドライブレコーダーも付けるでしょう。車両は自動ブレーキ車を選ぶかもしれません。一方、店舗型の飲食業でしたら、あまり車を使いませんから、そこまでの対策は行わないでしょう。

情報セキュリティ対策も同じように考えれば良いのです。自社の置かれた状況により適切な対策を考えて行きましょう。

ただ、一つだけ意識しなければならない点があります。

車は免許を持つ人だけが運転しますが、インターネットは情報セキュリティのスキルは関係なく全員が使うものだということです。

いわば、ゴーカートしか運転したことのない人に公道を走らせているようなもの。それで事故を起こさないレベルの対策が、情報セキュリティには求められていることは忘れてはなりません。

情報セキュリティに関するガイドラインの存在

もし、適切な対策を見つける手法に自信がなければ、今は情報セキュリティに関し様々なガイドラインやフレームワークがありますので、それらを参考にすることもお勧めできます。
実は欧米に比べ日本の情報セキュリティ水準は低く、そのギャップを埋めるため、国は様々な対策やガイドラインを出し続けています。

次回は、情報セキュリティマネジメントの考え方の参考になるガイドライン等を紹介していきたいと思います。

Webサイト・システムの診断 済んでますか?
採用情報ページ リニューアル
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS