情報セキュリティは経営問題
経営管理や人事・総務が取り組むべき

 では、風のような存在である情報を守るには、どのような対策を行うことが適切なのだろうか。

 かつて、日本経済新聞の経済教室に「『情報安全』は経営問題」(2002年10月2日)のテーマで寄稿したことがある。情報セキュリティを「情報安全」としたのは、多くの読者が理解できないと当時の編集者が判断したからであろう。

 あれから20年近くが経過し、現在では、大手企業だけでなく、政府・自治体や中小企業も、システムの不備やセキュリティ事件・事故が発生すれば、組織に大きな影響を及ぼすことを知るようになった。

 また、「サプライチェーン」の構築により、参加企業がネットワークで接続されると、末端にある企業への攻撃がサプライチェーン全体に影響を及ぼし、サプライチェーン全体でのセキュリティ対応が必要になることも明らかになってきた。

 こうした状況下でありながら、最近でも、あまりITや情報セキュリティに詳しくないマスコミや経営者から、「情報セキュリティについてはよく分からない」「どのようにリスクに対応すべきか」という質問が多く寄せられる。

 このような質問に対し、私はいつも以下のように答えるようにしている。

 まず、情報セキュリティは、「危機管理」や「リスクマネジメント」の分野の一つと考えることができれば、分かりやすい。

 前述したように、見えない情報を安全に保つには、情報が保存されているコンピュータや関連機器、記憶装置、関連設備(電源、通信、空調等の設備、部屋:ビル)を保護することが重要であり、情報セキュリティ/サイバーセキュリティを他の危機管理と同様に考えなければならない。

 また、情報セキュリティ、サイバーセキュリティでは、悪意を持った第三者や内部者の存在を想定する必要がある。USBメモリー等の媒体やインターネット経由による被害もあり、媒体等への直接的な被害がなくても、情報が変更される、あるいは削除されることもある。