ダイヤモンド社のビジネス情報サイト
情報セキュリティの方程式

私が経営者に説明する
「情報セキュリティの方程式」とは

小山 覚 [NTTコミュニケーションズ セキュリティ・エバンジェリスト]
【第1回】 2015年2月13日
著者・コラム紹介バックナンバー
previous page
3
nextpage

情報セキュリティの方程式

 経営者やセキュリティ部門の責任者から、自社の「セキュリティ対策」が他社と比較して適切なレベルなのかと質問されることがある。当然の疑問であるし、第三者に確認してみたい気持ちも理解できる。 しかし、セキュリティ対策を担当している現場の努力を一刀両断することも、経営者を脅すホラーストーリーを語るわけにもいかない。そんな時には手元の紙を取り出して「情報セキュリティの方程式」を紹介している。

 この方程式に当てはめれば、セキュリティ水準を高める最も単純な方法は、分母の(3)ユーザビリティ(利便性・自由度)を小さくすることだと分かる。情報漏洩インシデントを起こさないために、USBメモリ等の外部記憶媒体をパソコンに挿すと警報が出るような仕組みを導入している企業や、利用アプリケーションを限定し、アクセス可能なWebサイトを制限するなど、禁止ポリシーの導入にお金をかけた企業も多いのではなかろうか。

 IT環境の利用者や業務委託先に対してガバナンスを効かせることは、情報漏洩対策として重要な課題である。おそらく今後も情報セキュリティマネジメントの基本として行われるべき対策である。しかし、2015年の今、企業が対応すべきリスクは、内部犯行に加えて、外部から企業LANへの不正侵入や、マルウェア(コンピュータウィルス)を悪用した機密情報の漏出に備えることである。映画の世界が現実になっていると言った方が分かりやすいかもしれない。

 セキュリティ対策はイタチごっこと呼ばれるように、日々登場する新しい攻撃手法に対応するため、(1)テクノロジー(新技術の導入)が欠かせない。特に高度なコンピュータウィルスを作成して、不正侵入を試みる連中と対峙するためには、高度化する脅威に対して一定のセキュリティ水準を維持し続ける取り組みが求められる。具体的に求められる技術的対策の説明は別の機会とし、今回はマネジメント目線でお話を進めたい。

セキュリティオペレーションの重要性

 そして見落としてはいけないのが、この方程式に従うと、高度なテクノロジーを導入したものの、(2)オペレーションすなわち「被害調査と対策実施」の手間をかけなければ、最悪の場合セキュリティレベルはゼロに近づいていくということだ。ところが、幸か不幸かあまり手間をかけない運用でも致命的な被害にあわずに済むことが多い。大多数の経営者の過去の肌感覚ではないだろうか。

 こうなるとセキュリティ対策予算を削りたくなるのが正直な気持ちであるが、ここは辛抱してもう一歩問題に踏み込むべきところである。

previous page
3
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

小山 覚
[NTTコミュニケーションズ セキュリティ・エバンジェリスト]

こやま・さとる/NTTコミュニケーションズ 経営企画部 MSS推進室 担当部長。1988年、日本電信電話株式会社に入社、大阪府や兵庫県で電柱やケーブルの工事・保守業務を経験。1997年「OCN」の立ち上げに参加しセキュリティサービス開発に従事。その後CodeRedワームの脅威に直面しマルウェア対策を決意。2002年、本来業務の傍らTelecom-ISAC Japanなど、各団体の活動に参加。2006年、セキュリティ対策の国家プロジェクト「サイバークリーンセンタ」の運営委員を5年間務める。2013年7月から現職、総務省研究会の構成員として、サイバー攻撃対策と「通信の秘密の侵害」との関係整理に取り組む。

情報セキュリティの方程式

業務の効率化を使命とする情報システム部門に、セキュリティマネジメントを任せるのはやや無理がある。LAN内に侵入し情報を盗み出す標的型攻撃が増加する昨今、経営者はセキュリティ対策に対する認識を変えていく必要がある。インターネットの黎明期から情報セキュリティの現場を経験してきたエキスパートが、テクノロジー論やコストパフォーマンスの観点だけでない、情報セキュリティの日々の運用の重要性を解説する。

「情報セキュリティの方程式」

⇒バックナンバー一覧