第1回 ビジネスを基点にセキュリティを考える『セキュリティ』の視点
CIO MAGAZINE 2000年7月号掲載
eビジネスに乗り出す企業が爆発的に増えている。その一方で、不正アクセスや個人情報の漏洩、サービス妨害などのトラブルが相次いで発生し、インターネットというオープンな環境下で安全性・信頼性をいかに確保するかが企業にとっての重要課題と化しつつある。
もちろん、それに伴って、セキュリティを確保するための新しい技術やツール、サービスなども続々と登場してきてはいる。
しかし、単にそれらを導入するだけで、根本的な問題が解決できるのだろうか。日本企業にとってのセキュリティの問題は、もっと別のところにあるのではないだろうか。 本連載のスタートに当たり、まずはその辺りから考えてみることにする。
新たな脅威
日本でもいよいよ本格的なeコマースの時代が到来した。
これまで、eコマースと言えば、比較的小規模の企業や個人商店がWeb上のショッピング・モールに出店し、インターネットというチャネルを使って通 信販売を行うといった、いわゆる「インターネット通販」と呼ばれる形態が主流であった。
しかし、昨年の後半から、大手や中堅の企業が先を競うようにeビジネスに着手し、通 販型のeコマースにとどまらず、多様なビジネスをスタートさせている。おそらく、今後の企業ビジネスは、こうしたeビジネス(すなわちインターネットを軸にしたビジネス)と実世界のビジネスを両輪として、展開されていくことになろう。
また、企業の間では「いち早くeコマースに乗り出すことが、競争優位を確保(もしくは確立)するうえでの必須要件である」という認識が広まっており、それが企業ビジネスのインターネット化に一層拍車をかけている。
さらに、そうした認識は、いまや一般的なコンセンサスになっており、eコマースに積極的な企業が投資家から高い評価を得るに至っている。
このようにeビジネスが急激に発展する中で、にわかに浮上してきたのが、サービス妨害や不正アクセス、個人情報の漏洩といった、いわゆるセキュリティに関する問題である。
例えば、今年1月には日本の政府機関のサイトへの不正アクセス事件が発生した。また、その翌月には、米国の著名なeコマース・サイトが相次いで「分散型サービス妨害(DDoS)」の攻撃を受け、サービスの一時停止を余儀なくされた。また、クレジットカード番号の盗聴による被害も増加の一途をたどっている。
こうした中で、自社のeコマース・サイトやネットワークの安全性を高めるにはどうすればよいのか──いまや、セキュリティへの配慮がなくては、eビジネスを展開することは不可能なのである。
日本の実績
では、日本企業のセキュリティに対する「理解」や「意識」は十分なレベルにあるのだろうか。残念ながら、そこには問題があると、言わざるをえない。
例えば、eビジネスに対する情報化投資について検討する際、日本企業では「それによってどの程度のリターンが期待できるのか」といった点にのみ関心が向き、セキュリティを確保するための投資は見過ごされがちになる。
その背景には、「事が起きてから対処すればいい」という、日本的な発想に根ざした考え方がある。
実際、eビジネスを展開している企業の中で、セキュリティを確保するために一定額以上の投資をしている企業は、金融などの一部の業界に属する企業を除けば、ほとんどないというのが実情である。
インターネット上の犯罪や事件に対処するための技術やツール、サービスは続々と登場してきている。しかし、問題はそれ以前のセキュリティに対する企業の考え方や姿勢にあるのだ。
人と人とが直接対面することが少ない(というよりもほとんどない)eビジネスの場合、実世界でのビジネス以上に、顧客や取引相手との「信頼関係」を築くことが重要となる。したがって、セキュリティに弱点を持つ企業は、「リスクの高い企業」と見なされ、eビジネスの仲間入りすらできないことになる。
基本的な3つのステップ
それでは、セキュリティの確保に向けて、企業はどのような対策を講じればよいのだろうか。
まず第1になすべきことは、強力なリーダーシップを持ってセキュリティ対策を進める責任者、すなわちCIO(もしくはCIO的な役割を演じる人間)を置くことだろう。 経営戦略と情報戦略を調整・統括するCIOは、米国企業ではすでに当たり前の存在となっている。しかし、日本企業では、まだ企業経営者がCIOの役割を兼務しているケースが少なくない。
ただし、大半の企業経営者は実世界のビジネスでは強力なリーダーシップを発揮できても、情報技術(IT)を活用したeビジネスについては、IT部門にまかせ切りにしがちだ。
対するIT部門も、例えば、新しいセキュリティ情報やツールには精通していても、それらを経営の視点からとらえることには慣れていない。
こうしたことから、セキュリティについての知識やノウハウを基にして、最適な対策を講じたり、社内全体のセキュリティ意識の向上を促したり、何らかの事件が発生した際には、すみやかに対応し、その解決作業を指揮したりするCIOの存在(あるいはCIO的な存在)が求められるのだ。
また、セキュリティの確保に向けた第2のステップは、eビジネスに乗り出すねらいや、それによって期待される効果とリスクを、ビジネスの視点からきちんと見極めることである。
eビジネスも実世界のビジネスと基本的なところは同じである。新しいビジネス展開によって得られる成果もあれば、当然、何らかのリスクもある。よって、事前にそれらを分析・検討し、リスクを最小限に抑えながら、成果を最大化するための戦略を十分に詰めていかねばならないのだ。
セキュリティの問題は、そうしたリスクの1つである。ゆえに、これを回避するためにどの程度の投資を行うべきかを、期待される効果とのバランスを見ながら判断していく必要がある。
このほか、情報管理・有効活用の視点も、セキュリティを確保するうえで必要不可欠となる。
情報のデジタル化の進展によって、企業にはすでに膨大な情報が蓄積されているが、eビジネスを始めれば、その量はさらに増加することになる。
したがって、eビジネスに乗り出す企業は、そうした情報を管理し、効果的に活用していくための仕組みをきちんと構築しなければならない。仮に、その仕組みが欠けていると、eビジネスによる効果が半減することにもなりかねないし、いかにセキュリティの確保に資金を投じても、その見返りを十分に得られないかもしれないのである。
