ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2007/08/24 掲載

【連載】なぜ、企業で情報セキュリティは人気がないのか(2/2)

NETWORK Guide Vol.6より

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
企業が情報セキュリティをやらなければならない理由

 それでは、なぜ、やりたくもない情報セキュリティ対策を企業はやらなければならないのでしょうか。  教科書的な正解は、以下のようになります。

■ 社会的責務
 CSR(企業社会責任)の一環として、情報システム社会に生きる企業市民(コーポレートシチズン)としては、セキュリティ対策が必須である。自社の管理する情報を安全に管理し、適切かつ効果的に活用していかなければ、これからの事業の発展はありえない。

■ リスク管理
 いまや情報セキュリティに関する事故、たとえば、個人情報漏えい事件や、ウイルスによる機密情報漏えい事件は、どの企業でも起こりえる問題であり、ひとたび発生してしまった場合、企業の信用に関するリスクは計り知れないものがあるため、情報セキュリティをおざなりで済ませるわけにはいかない。

■ 法制化など政府の指導
 e-Japan計画をはじめ、日本が世界の中でその優位性を保ち続けるためには、情報立国という構想が欠かせない。その中で活躍してほしい日本企業においては、悪事を働かない(刑法)ことは当たり前として、国民の情報を守り(個人情報保護法)、内部統制に基づく正しい会計情報を公開(日本版SOX法)することが、世界の企業と渡り合っていくための義務となっている。そのためにも情報セキュリティ対策は最低必要条件である。

 さらに副次的な効果としてうたわれるものとしては、以下の要素があります。

■ 顧客サービス向上
 お客さまが安心して取り引きのできる環境を提供することで、顧客サービスの向上につながり、売り上げの向上が見込める。

■ 品質向上
 情報セキュリティの定義である、可用性、完全性、機密性が向上することで品質が向上し、安心して使える情報システムが実現する。

■ マネジメントサイクル構築による効率性アップ
 情報セキュリティ管理体制(ISMS)を導入する過程において、業務フローの見直しや、情報資産のたな卸しが行われ、日ごろ見落としていた問題点の解消や、業務効率の改善が見込める。  と、このようなきれいごとを並べられても、やはりやりたくない仕事はやりたくないのが本音ではないでしょうか。

 幸いなことに、日本企業では昔から、明確に職務として定められていない仕事であっても、本当にやらなければならない類の仕事は誰かがやってくれているものです。特に情報セキュリティなどの“誰からもほめられないタイプの仕事”は、率先して会社が組織的に推進していくことはまれであり、まじめなで 責任感の強い情報システム担当の方が、陰ながら支えています。

 これは、裏を返せば、情報セキュリティについては教科書的な理論とは別の領域においても、「やらなければならない」という感覚が芽生えてきているということだと考えられます。

情報セキュリティは担当者任せが実情

 なぜ、現場レベルでは、情報セキュリティを実施しているのでしょうか。たとえば、情報システムの担当者であれば各種障害対応の経験から、IRT(インシデント・レスポンス・チーム)の必要性は痛いほど理解しており、会社組織として緊急時の意思決定ルートの整備と、上位者におけるその必要性の理解を期 待しています。

 しかし、現実問題として整備されているケースはまれであり、担当任せになっています。担当者からすれば、種々のシステム障害と同様に、セキュリティ・インシデント(セキュリティ事件・事故)が発生した場合であっても、自分がその事故の対処をできるかどうかとは無関係に、何とかしなければならないのです。この辺りが、担当者が情報セキュリティをやっている理由の1つだと考えられます。

 ほかには、各種メディアで同業他社のセキュリティ・インシデントが取り上げられた場合に、自社のセキュリティ対策との比較が行われ、不足部分に対する対応を急遽実施することとになるでしょう。さらには、個人情報保護法や、日本版SOX法などによる法的規制が突然、降りかかってきたり、自社の所属する業界団体からの規制や、ガイドラインなどにより強制されたり、取引先や親会社から強く要請されたりすることで、いやおうなしに情報セキュリティを実施しているものと思われます。

 このような現場レベルによる情報セキュリティの進化であっても、放置しているよりはましな状況でありますが、当然、課題も残されることとなります。  それは、必要だとわかっていても、新しい仕事を一担当の権限でかってに増やすわけにはいかないことから、いつまでたっても明文化した組織としての仕事に格上げできない点。また、個人レベルの善意により成り立っているため、個々人の理解度や達成すべき目標レベルの違いにより、対策が異なること で、組織内にいらぬ紛糾の種をまくことになるという点などがあります。

連載一覧へ


丸山 司郎
ラック 研究開発本部 主管研究員
情報セキュリティ全般のコンサルティングに従事。現在は、研究開発本部にて明るいセキュリティを研 究する傍ら、ラック緊急対応チームの隊長として、日夜セキュリティ事故に立ち向かっている。


評価する

いいね!でぜひ著者を応援してください

  • 0

会員になると、いいね!でマイページに保存できます。

共有する

  • 0

  • 0

  • 0

  • 0

  • 0

  • 0

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line

関連コンテンツ

機動警察パトレイバーがお手本?近大柏崎氏に聞く「サイバーセキュリティの本質」

生成AI活用で「見落としがち」なデータ保護、ガートナーが語る「4つのリスク」とは

エンドポイントのセキュリティ対策は不安と不満だらけ、「高すぎる」現状と解決策
関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample