ダイヤモンド社のビジネス情報サイト
IT&ビジネス 業界ウォッチ Special
2014年9月30日
著者・コラム紹介バックナンバー

「場当たり的」「キーワード偏重」の対策が
リスクを増大させ、無駄な投資を生む

企業規模を問わず、中長期経営計画を立てない経営者はまずいないだろう。達成すべき目標が明確になってこそ、必要な事業戦略も見えてくる。実は、情報セキュリティ対策も同様である。サイバー攻撃に対抗し、投資対効果を高めるためには、場当たり的な個別対策ではなく、事業の中にセキュリティを組み込み、対策をうまく連携させながら全体最適の仕組みをデザインする必要がある。

セキュリティ意識の低い経営者は
大きなビジネスリスク

 多くの企業が情報セキュリティ対策を講じているにもかかわらず、機密情報や顧客情報などを盗まれる被害が後を絶たない。こうしたサイバー攻撃は、最近特に巧妙化・悪質化してきている。

図1 サイバー攻撃の脅威が増す背景
拡大画像表示

 サイバー攻撃が激化している背景の一つに、実は世界的な経済格差の問題がある(図1)。豊富な資金力を持ち、最先端の技術力やマーケティング力を駆使してグローバルでシェアを拡大する組織がある一方、資金力や技術力で劣る組織は市場への新規参入が難しく、経済的な格差が広がっているのだ。競争力で太刀打ちできない組織の中から、「実力行使」とばかりに、ライバル企業の機密情報を盗み取ったり、知的財産を侵害したり、といった行動を選択するところが出てくる。

 一方、インターネットをはじめとする情報技術の進化の恩恵は、地域や経済の格差に関係なく一様に受けられる。悪意のある組織や人間にとってサイバー攻撃が比較的容易に行えるということも、サイバー攻撃激化の要因と言えるだろう。

 攻撃者の手口がより巧妙で複雑になる一方、企業経営者のセキュリティ意識はどうだろうか。「念のために対策を講じる」「他がやるから、わが社もやらざるを得ない」といった消極的な姿勢はないだろうか。そのような経営者の意識の低さが、いまや大きなビジネスリスクになると言っても過言ではない。

 鉱山会社のダイヤモンド採掘事業を例にセキュリティのあり方を考えてみよう。いくら採掘技術が優れていたとしても、採掘場から加工工場への安全な輸送手段(=セキュリティ対策)が考慮されていなければ、輸送中に盗難被害に遭うリスクが高くなり、事業成立が危うくなる。

 「企業の情報も同じです。顧客情報をはじめ、企業が保有するビジネス情報は重要な資産そのものであり、ダイヤモンドやキャッシュと同様の価値があります。ビジネスプロセスの中にセキュリティを組み込まなければ、事業が成り立たないことを、経営者は理解する必要があります」とマカフィーの三好一久氏は指摘する。

 日本の多くの企業では、情報セキュリティ対策は場当たり的に個別製品を導入するだけで、事業に応じた中長期的な計画に基づくセキュリティ対策ができていないのが実情だという。その結果、対策が後手に回り、ビジネスを脅かすセキュリティリスクが高くなるだけでなく、投資の無駄を招くことになる。こうした状況を解消し、事業に沿ったセキュリティの全体最適化を進めるにはどうすればいいのだろうか。

 海外企業ではすでにさまざまな取り組みが進められている。IT予算の削減、スタッフの人員不足といった現象は海外でも同じだ。そんな中でも、オーストラリアの電力供給会社は社内システムの潜在的な脅威を早期に発見・分析する仕組みを構築し、逆にセキュリティガバナンスを強化している。アメリカのある自治体は、脅威の程度を可視化することで、限られた予算でも有効なセキュリティ体制を構築している。

この記事の続きと、本文で紹介した
事例の詳細が以下から
PDFをダウンロードして
お読みいただけます。

 

資料ダウンロードのご案内

<記事>
「場当たり的」「キーワード偏重」の対策がリスクを増大させ、無駄な投資を生む

日本企業に多く見られる「場当たり的」で「キーワード偏重」のセキュリティ対策。投資が無駄になるだけでなく、リスクが増大するという本末転倒の結果になりがちだ。そこから抜け出す解決策の一つが、「セキュリティアーキテクト」の設置。具体的には何から始めればよいのかをわかりやすく解説。

<カタログ>
マカフィー プロフェッショナルサービスのコアバリューと製品ラインアップ

巧妙化・悪質化するサイバー攻撃から自社を守るには、単に製品・サービスを導入するだけではなく、各社が自らの事業に合わせたセキュリティの全体最適化を行う必要がある。マカフィーの「プロフェッショナルサービス」は、コンサルティングファーム、セキュリティベンダーなどの出身者からなるメンバーで、企業のセキュリティ対策を総合的に支援する。

<事例1>
少ないITスタッフでも社内の脅威の兆候を早期分析する体制を構築

単純な防御だけでなく、社内システムの潜在的な脅威を早期に発見・分析するセキュリティ情報/イベント管理(SIEM)ソリューションを導入。ITスタッフが少ないにもかかわらず、セキュリティガバナンスの強化を実現したオーストラリアの電力供給会社の事例を紹介。

<事例2>
セキュリティ情報を一元化し限られた予算内で効率的な対策を実施

セキュリティ上のすべての脅威を完璧に防ぐことは難しい。アメリカのある自治体は、セキュリティに関する情報を一元化することで、脅威の程度を可視化。特に緊急性の高い事象への対応を優先することで、リソースの有効活用を実現している。

<事例3>
リアルタイムに状況を把握する仕組みを構築。コンプライアンス監査の簡略化にも成功

アメリカのある信用組合では、すべての社内システムの情報をリアルタイムで把握できる包括的なセキュリティ体制を構築。一つの画面から必要な情報にアクセスできる環境を整備したことで、コンプライアンス監査を大幅に簡略化することに成功した。

ダイヤモンド・オンライン
登録済(会員)の方は
こちらからお進みください

ログインで一部項目の登録が省略できます
※情報の修正や追加を行った場合は登録内容が更新されます。

※必ずお読みください

これからご登録いただくあなたの個人情報は、マカフィー株式会社(同社のプライバシーポリシーはこちら)に受け渡され、ご案内などに利用させていただきます。
ダイヤモンド社のプライバシーポリシーはこちら

[PR]

DOLトップへ
underline
お問い合わせ先

マカフィー株式会社

〒150-0043

東京都渋谷区道玄坂1-12-1

渋谷マークシティ ウエスト20F

TEL:03-5428-1100(代表)




IT&ビジネス 業界ウォッチ Special

IT業界で話題の新サービス・新製品のニュース、これから話題になりそうな新ツール、知っておきたい各種の統計調査……などなど、経営効率化に寄与するIT業界の今のうごきをレポートします。

「IT&ビジネス 業界ウォッチ Special」

⇒バックナンバー一覧