業務の効率化を使命とする情報システム部門に、セキュリティマネジメントを任せるのはやや無理がある。LAN内に侵入し情報を盗み出す標的型攻撃が増加する昨今、経営者はセキュリティ対策に対する認識を変えていく必要がある。

セキュリティは事業継続の投資

私が経営者に説明する<br />「情報セキュリティの方程式」とはこやま・さとる/NTTコミュニケーションズ 経営企画部 MSS推進室 担当部長、セキュリティ・エバンジェリスト。1988年、日本電信電話株式会社に入社、大阪府や兵庫県で電柱やケーブルの工事・保守業務を経験。1997年「OCN」の立ち上げに参加しセキュリティサービス開発に従事。その後CodeRedワームの脅威に直面しマルウェア対策を決意。2002年、本来業務の傍らTelecom-ISAC Japanなど、各団体の活動に参加。2006年、セキュリティ対策の国家プロジェクト「サイバークリーンセンタ」の運営委員を5年間務める。2013年7月から現職、総務省研究会の構成員として、サイバー攻撃対策と「通信の秘密の侵害」との関係整理に取り組む

 セキュリティ対策を、オフィス環境のIT化のように投資回収期間や業務改善で成果を測定することは難しい。対策の結果としてリスクが回避されたのか、回避したリスクが費用に見合ったものだったのか、第三者が評価してくれることも無い。

 社内に侵入され一度でも情報漏えいの被害に遭うと、損害賠償請求などの金銭的影響だけでなく、信用失墜など回復困難なダメージを受けてしまうのが最近の攻撃の特徴である。法人の命を奪いかねない攻撃への対策は、漠然とした脅威に対する「お守り」や「保険」ではなく、具体的な攻撃手法を想定した「新技術」を導入し、日々のオペレーションでその効果を確認するマネジメントとして定着させねばならない。

 高額な出費を伴う場合もあるため、経営者を悩ませることになるが、自社の事業継続のための投資と考え、優先順位を上げる思考回路を持っておく必要がある。

私が経営者に説明する<br />「情報セキュリティの方程式」とは

「正常化の偏見」が起きやすい
サイバーセキュリティ対策

 経営者に理解がある場合でも、現場では常に「正常化の偏見」が起きやすいため注意が必要である。見えないリスクを過小評価してしまい、標的型攻撃に対応するセキュリティ対策が、業務改善ツールの導入などのIT投資と同じ枠組みで比較検討され、優先順位が上がらず後回しになる事もある。

 業務改善や効率化は重要な経営課題であるが、事業継続の為の将来投資(リスク回避)と天秤にかけるべきではない。