第12回　情報セキュリティの現状と課題を振り返る“セキュリティ元年”からの飛躍

正しい対策は正しい理解から

ここ1年ほどの間に、情報セキュリティをめぐる環境は大きく変化した。そもそも「情報セキュリティ」という言葉と考え方が広く浸透したのが、昨年からのことなのである。こうしたセキュリティの考え方の広まりは、ITという言葉の定着と歩みを同じくしている。政府が「IT立国」を宣言し、その最大の問題点の1つとしてセキュリティ確保を挙げたことも、関心を呼ぶ大きなきっかけになった。政府機関のホームページが無断で書き換えられるといった事件が波紋を呼んだことで、不正アクセス禁止法をはじめとする法制度の整備も進展した。ITが社会インフラとして急速に普及する一方で、情報セキュリティの重要性の認知が進んだのである。そうした意味で、昨年は“セキュリティ元年”と位置づけることができよう。

だが、果たして情報セキュリティに関する真の理解が浸透したかと言えば、正直、まだ疑わしいと言わざるをえない。マクロとしてとらえた情報セキュリティの必要性、あるいは、ミクロの視点による技術／製品への知識は、確かに深まったかもしれない。だが、その両者をつなぐ「どのような方法でセキュリティを確保していくか」、あるいは「社員がどのような役割を担うべきか」といった肝心な要素に関する理解が欠落しているように思えてならない。

そのような理解不足は、企業の経営者と情報システム（IS）部門との認識のギャップを生じさせる要因となっている。その例の1つが、ファイアウォールに関する認識だ。経営者の中には「ファイアウォールを導入しているから絶対に安心」と、ファイアウォールをまるで完全な防波堤と考えている人が少なくないようだ。だが、実際には、ファイアウォールとは、電子メールの送受信やWebへのアクセスなどの際に開け閉めされる壁であって、とても「絶対に安心」と言えるようなものではない。IS部門では、そうした知識は常識であるが、経営者に正しく伝わっていないのである。セキュリティの必要性のみを理解していても効果が上がらないという典型例である。

最近ではさまざまなセキュリティ・ツールが登場しているが、当然ながら、そうしたツールには性能上の限界が存在する。技術に関する過剰な期待は、かえって命取りになるということを改めて認識していただきたい。

何度も言うようだが、車が走っているかぎり、事故の確率はゼロにはなりえない。情報システムも、それと同様である。だからこそ、貴重な情報が危機にさらされた場合におけるリスク・マネジメントも含めたトータルな対策が必要となるのだ。このリスク・マネジメントとセキュリティ対策が、結びついていないことに、現在の情報セキュリティの最大の問題点があると言える。

以上のような、情報セキュリティに関するアンバランスな理解は、企業においてCIOおよびその役割を果たす人物の不在が要因となっていると言える。

マイナス要因に目を向けよ

今年、「e-Japan」構想の具現化をはじめとして、インターネットを社会インフラとして整備するというネットワーク社会実現への取り組みは、さらに拍車がかかることが予想される。それを機に、ネットワークを利用した新しいビジネス展開を推し進める企業も少なくないことであろう。確かに、ネットワーク社会は、企業に大きなビジネス・チャンスをもたらす。また、消費者に対しても大きな利便性を提供することになる。だが、そうしたプラス要因だけでなく、マイナス面にこそ注意を払う必要がある。その筆頭が情報セキュリティである。

「道路を次々と作ってはみたものの、それだけ事故も頻発する」というのでは、そもそものプラス面さえ、失ってしまうことになりかねない。 そのような事態を防ぐために、企業に求められているのは、ITをビジネスに生かすにあたっての明確な心構えであると言える。まずは、ITが自社のビジネスにとって本当に必要なのかどうかを見極めることから始めなければならない。それも、「周囲がやるからうちでもやる」といのではなく、あくまでも冷静なビジネス上の判断に基づく考察である。

ITの導入を決めたならば、次にそのメリットとデメリットの分析に入る。特に、新しいシステムを構築しようとするならば、システム要件と同時にセキュリティ要件を考慮することが不可欠だ。セキュリティ対策は、技術的な視点からのみ行えばよいというわけではない。組織的、教育的な視点から、トータルな体制、仕組みづくりを進めつつ、システムを構築するという用意周到さ求められる。

技術や製品の導入を検討するのであれば、「それがなぜ必要なのか」、「ビジネス展開にどのように関わるのか」といった問題を把握したうえで、その内容を経営者にアピールしておくことが必要だ。セキュリティにまつわる技術は通常、効果を計るのがきわめて難しい。だが、だからと言って、そうした取り組みを怠るわけにはいかない。万が一の事態が発生した際に、初めて効果を知ってもあとの祭りなのである。

また、製品や技術については、運用面からの気配りも必要だ。つまり、その使用法を正しく理解するということである。例えば、ウイルス検知ソフトは、システムにインストールしさえすれば、それで完全な効力を発揮するというものではない。定期的にウイルス定義を更新し、ディスクをスキャンしなければ、十分な性能は得られない。こうした事実を社内に周知徹底させなければ、せっかくの技術も無用の長物となってしまうのである。

それに加え、実際に危機にさらされたときの対応をしっかりと決めておくこと、いわゆるリスク・マネジメントも重要だ。システムがダウンしたとき、あるいは不正アクセスやウイルスの攻撃にさらされたときに、被害を最小限に抑えるための体制を作り上げておくが不可欠と言えよう。

求められるCIOの役割

現実問題としてビジネスというものは、個々別々のものであって、そのために構築するシステムも各社各様である。したがって、そのシステムにどのような危険があるのかという普遍的なマニュアルは存在しないと考えなければならない。つまり、情報セキュリティ対策は、個々の企業が自力で方法を確立するところに意義があるとも言えるのだ。そうした取り組みを進めていくうえで、観念的な理解と実際の技術論とのギャップを埋め、自社の情報セキュリティを確立するという重大な任務を担うのが、CIOである。

それはすなわち、セキュリティについて抽象論に走りがちな経営者と、細かな技術論に走りがちなIS部門の間に立ち、円滑なコミュニケーションを実現する調整役の役割でもある。

インターネットをはじめとするITの普及は、企業にとって大きなビジネス・チャンスにつながると同時に、落とし穴も増えることにつながる。実際に、企業のセキュリティに関わる事件は引きも切らず発生しているのである。こうした現実を“対岸の火事”として片づけるのではなく、自社のセキュリティ体制をチェックする好機ととらえるべきべきである。そうした柔軟な発想も、CIOに期待される役割の1つである。