■情報セキュリティマネジメントの考え方
　情報セキュリティはしばしば桶に水を張る様子に例えられる。桶は薄い側木（これを榑（くれ）という）を箍（たが）で締めて作るが、この“くれ”の高さがまちまちであったなら、水は一番低い高さの“くれ”までしか溜めることはできない。この例では水は情報資産、“くれ”はセキュリティ対策に当たる。では、この“くれ”の高さがまちまちになってしまう、すなわちセキュリティ対策のレベルが部署や個人でまちまちになってしまうのは、どのような要因によるものがあるだろうか。


セキュリティ対策のミス
3つの原因とその理由

一つはリスク分析とセキュリティ対策の選択ミスである。ある情報資産を脅かす原因は一つだけではない。例えば、昨今の個人情報漏洩事件の例を見ても、ネットワーク経由での盗み出し、パソコンの盗難、移送中の紛失など原因は多岐にわたる。またそれに対抗するためのセキュリティ対策もいろいろなものがある。パソコンの盗難防止だけを考えても、ワイヤーでの固定、データの暗号化、建物の出入り口での持ち出しチェックなどさまざまであり、最近では個々のパソコンには情報を蓄積しないというソリューションも登場している。保護する情報資産の重要度に応じて相応のセキュリティ対策を施すのが、桶の高さを一定のものにする要素の一つである。

　二つ目の要素は部署間の意識の違いである。情報セキュリティ対策は全社一丸となって取り組まなければ真の効果が発揮されない。一方で、概して情報システム部門はセキュリティ意識が高く、製造部門や営業部門は意識が低い傾向がある。ある部署が真剣に情報セキュリティに取り組んだとしても、他の部署がいいかげんな対策に留まっていれば、そこからコンピュータに不正に侵入されたり、情報が漏洩したりするのは必至である。また人事異動で、意識の低い部署から他の部署へ移った従業員が、以前と同様の意識でいることでセキュリティの穴を広げていってしまうこともある。「前の部長はそんなきついことは言わなかった」と言われると、部長としても「もしかして私はやりすぎているのかもしれない」と思ってしまう。セキュリティの意識は低い方に引っ張られがちであり、これを放置しておくといわゆる｢たががはずれた状態｣となり、桶自体が崩壊してしまう事になりかねないのだ。

　もう一つの要素は、時間的経過によってセキュリティ対策の効果が劣化することである。情報技術は日々発展し、情報資産の利用形態もどんどん変化する。また攻撃手法も年々進化している。コンピュータウィルスがいつまでも無くならないのは、『新しいソフトウェアが生産されるたびに、そこに欠陥があり、それを攻撃する手法が開発され……』ということが繰り返されているからである。また情報資産の価値自体が変化するということもありうる。つまり情報リスクというのは常に状況が変わる生の物なのである。
　情報セキュリティマネジメントは、これら３つの要素に目を配り、桶の“くれ”の高さを全て同じものに保つための施策といえる。


経営陣の取るべき施策とは……

　では、情報セキュリティマネジメントに一番必要で重要なものは何であろうか。それは経営陣による積極的な関与である。情報セキュリティに関する施策の導入は、意外と難航することが多い。それは、どこまでやればよいのか、という線引きが難しいためである。セキュリティの各種対策には当然コストが発生する。セキュリティ対策のための製品を購入することはもちろん、推進・維持するための社内体制の整備、一部の業務効率の低下による売上げの減少もあるかもしれない。情報セキュリティの推進部署が、あるべき対策を掲げ笛を吹いたとしても、現場部門が前述のコストや手間を懸念して動かなければ、企業のセキュリティレベルは一向に向上しない。
　当然、現場部門にも言い分はある。そのコストを支払うことによる利益の減少、売上げの低下が起こった場合の責任はどうするのか。この疑問に答えることができるのは企業活動全体のリスクを見渡せる経営陣だけなのである。

　それでは経営陣は何を行えばよいのであろうか。次回以降、経営陣が行うべき情報セキュリティマネジメントの要点を「可視化」、「仕組み化」、「現場化」というキーワードで解説していく。




NRIセキュアテクノロジーズ株式会社
情報セキュリティ調査室長
菅谷光啓
1991年、野村総合研究所入社
1995年頃より情報セキュリティ関連事業に参加
2000年、NRIセキュアテクノロジーズ発足と同時に出向
コンサルティング事業部長を経て現職
現在、情報セキュリティに関わるコンサルテーション、脆弱性評価、監査、教育・研修、情報提供事業を担当
工学博士、CISA、CISSP、CAIS


次回12月30日掲載予定