第7回　情報セキュリティ構築に近道はないセキュリティの落とし穴

情報システムの位置づけ

「情報システムは本当に必要なのだろうか」──こう言うと、読者の方々は何を今さらと思われるかもしれない。だが、ITとそのセキュリティを考える際には、常にこの考えが基本になければならない。ここに、ある運送業者の話がある。その業者では、業務の拡大に伴って輸送中の交通事故が増え、その負担が増大した。そこで、事故を何とか減らせないかと考えた。事故をゼロにすること自体はそれほど難しいことではない。要はクルマを走らせなければよいのだから。しかし、それではビジネスが成り立たない。したがって、ビジネスに必要な分だけ車を走らせればよいという結論を導き出したのである。わざわざこんな話を持ち出したのは、実はセキュリティについても同様のことが言えるからだ。

つまり、情報システムを導入しなければITセキュリティに頭を悩ます必要もない。だからこそ、「本当に必要なのだろうか」と考えなくてはならないのである。問題意識を持たず、安易にIT投資を重ねれば、いつか必ず情報セキュリティ問題で頭を悩まされるときが訪れるだろう。情報システムの意義を考え、位置づけを明確にすることが重要な第一歩なのである。

そこで、国内の企業の取り組みについて見てみると、残念ながらこうした情報システムの位置づけがかなり曖昧になっているように思われる。特に、情報システムがもたらす効果についてのチェックは、ほとんど手つかずの状態である。

新しい事業投資を行う場合、ほとんどの経営者は、その投資がもたらす効果について、十分に検証するはずである。ところが情報システムへの投資となると、なぜかそういった取り組みはなされていない。ある部門にグループウェアを導入するといった場合にも、事務処理の生産性がどれだけ向上するかを数値化して把握していないケースが目立つのである。

確かに、こうしたシステムの効果を数値化するのは簡単ではないかもしれない。しかし、だからといって検証を曖昧にしていいはずはないのだ。システムの価値というものは、ビジネス上での効果によって決まるものだからである。効果が分かって初めてリスクも明確になり、リスクを避けるためのセキュリティ投資がどれほど必要なのかも判断できるということを再確認すべきだろう。

技術偏重主義への不安

現在、情報セキュリティ関連のセミナーが数多く開催され、多くの参加者を集めている。各企業で情報セキュリティに対する関心が高まっている証拠であろう。だが少々気になるのは、そうした関心のあり方が新しいセキュリティ技術やプロダクトに偏っているように感じられることである。繰り返し述べてきたように、セキュリティは技術やプロダクトのみの問題ではない。最新技術を駆使したシステムを導入すれば万全なセキュリティが得られるというわけではないのである。どんな技術を使おうとも100％のセキュリティ対策などは、実現できないのだ。

先の例で言えば、クルマを運転すれば事故の可能性は必ず生ずる。システムも一度立ち上げれば、必ずリスクはつきまとうのである。そう考れば、損害が出ることを事前に予期し、組織的で継続的な回避策を練ることがいかに重要であるかが、自ずと理解できよう。こうした姿勢は、いかなる最新技術やプロダクトを導入した場合でも同じように重要だ。全社を挙げた組織的で継続的な取り組みを行うことでしか、真の意味でのセキュリティ向上は見込めないのである。

このように、技術ばかりに関心が集まる原因は、実は企業の考え方そのものの中にあるとも言える。それは、情報セキュリティ対策はIS部門が担うべきであるという考えである。その証拠に、セキュリティ・セミナーへの参加者のほとんどがIS部門の人たちだ。当然ながら、彼らはシステム技術やプロダクトのスペシャリストである。関心が自然と技術系に偏るのは仕方のないことかもしれない。

技術偏重主義は、セキュリティを向上させようとするときに、システム面からの対策のみに気を取られ、最も肝心なビジネス的視点が欠落してしまうという問題を生む。これでは、十分な効果は望めない。単なる“お飾り”のセキュリティ対策となってしまうのである。

セキュリティ対策は、情報システムを利用する社員が明確な意識を持って初めて機能する。万が一、ビジネスに甚大な損害をもたらしかねない情報漏洩が発生した場合でも、組織的な対応策が存在すれば、被害を最小限に食い止めることも可能なのである。だからこそ、こうした取り組みを情報システムのみの課題と考え、IS部門にすべてを任せる企業の姿勢は即刻改めるべきである。そして、システム面での対策は全体の一要素にすぎないという認識に立ち、IS部門にもそうした視点を徹底させることが求められる。

また、全社を挙げて組織的な対策をとるために、経営者クラスが積極的にセキュリティ確立に関与するのもよいだろう。しかし、最善の方法はやはり、CIOポストを設置して、このCIOを中心に組織的な対策を進めていくことであると考える。

借り物ではなく自作のポリシーを

多くの企業で、基本となる情報セキュリティ・ポリシーの策定が遅々として進まないケースが見受けられる。その原因を探ってみると、ほとんどの場合は前提となるべき現状の把握がしっかりとできていないことによるものである。事実、それぞれの部門が業務処理のために独自にサーバを設置しているような企業も依然として多い。これでは、どこにどのような情報が蓄積されているかすら把握できない。そして、セキュリティ対策が最も求められている大企業ほど、この傾向が顕著なのである。

情報の現状を把握していないかぎり、セキュリティ・ポリシーの確立は望めない。そこで一部の企業には、同業他社の取り組みを参考にしながら自社のセキュリティ・ポリシーを策定してしまおうなどと、安易な手法に走るケースも見られる。しかし、これではまったく意味がない。情報セキュリティ・ポリシーはそれぞれの企業ごとに、そのコア・コンピタンスに従って情報の価値を把握し、それをベースに策定されるものであり、100社あれば100とおりのポリシーがあって当然なのだ。借り物のポリシーで自らの企業を守ることはできないのである。

こうした面から見ても、すべての企業にとって情報システムの見直しは急務だ。それが本当に必要なのか否か、またその重要度はどの程度なのかについて、コア・コンピタンスに照らしてチェックしてみるべきであろう。そのうえで、それぞれのシステムに日々蓄積される情報を全社的に把握する仕組みを構築し、情報の価値づけを行えば、ポリシー策定の道筋も見えてこよう。

ここまで述べてきたことは、一見するとセキュリティ対策を講じるうえでは遠回りの手法と感じられるかもしれない。しかし、基本となる足場が固まっていなければ、せっかく講じた対策もただの“お飾り”になりかねない。情報セキュリティ確立に近道はないのである。