ここから本文です

疲弊する情報セキュリティの現場と経営者の心境

ITmedia エンタープライズ 10/14(金) 11:53配信

 最近、経営者向けの講演依頼が多く、依頼されるテーマは「経営者への警告+情報セキュリティ」という組み合わせである。先月(2016年9月)はこの種の依頼が半数を占めた。今回はこうした背景から経営者に意見してみたい。

【その他の画像】

●疲弊しつつある情報セキュリティの現場

 仕事柄、筆者はさまざまな企業や団体で情報セキュリティをメインに仕事をされている方々との接点が多く、時には深夜まで一緒に作業している。20年近くコンサルタントの仕事をしてきた中で気が付くのは、「建前」と「本音」があまりに違うことだ。

 テレビ局や新聞社が取材すると、どの企業や団体も経営側はほぼ一様にこう話す。

「わが社は情報セキュリティの重要性は認識している」

「情報セキュリティの強化に最優先で取り組んでいる」

 しかし、その実態はどうだろうか。

 情報セキュリティ部門の陣容(人)、予算(金)、機材(物)、仕事内容について10年以上前と現在を比べてみると、情報漏えいやサイバー攻撃に実際に遭遇してしまった団体・企業を除けば、陣容では横ばいか微増、予算では横ばいか微減という状況だ。業務に必要な機材などは「使い倒す」というのが基本にもなっている。

 しかし仕事内容は、この10年間でその幅が大きく広くなり、深くなっている。残念なことに、経営側がその変化に気が付くことはほとんど稀(まれ)である。企業や団体によって異なるが、この10年の間に登場した情報セキュリティ部門の仕事は以下のものがあるだろう。

・モバイル端末のセキュリティ、ポリシー策定
・サイバーセキュリティ強化策の対応
・スマートフォン利用規則の制定
・クラウドの導入検討+実装
・BYOD(個人端末の業務利用)の導入検討+運用
・渉外用タブレットの導入検討
・ビッグデータ活用を推進する具体策の検討
・LINE活用の検討
・企業SNSの導入
・マイナンバー対応
・サイバー攻撃対策
・標的型メール攻撃対策
・ランサムウェア対策検討+実装
・内部不正の防止強化策の検討
・CSIRT対応
・FinTechの検討
・IoTの検討
・AR(拡張現実)やVR(仮想現実)など視覚技術を使った新しいコンテンツの発掘
・「地域創生+自社技術+ITベンチャーのアイデア」を活用した企画の検討

 現場ではこういう対応を必死に行っているが、人は微増というレベルだ。効率的な作業を実施していても、「せめて10年前の2倍の人員はほしい……」と考えている現場管理者は非常に多い。それに加えて、作業担当者のスキルが悲しくなるほどに低下していると悩む人も多く、筆者も現場で作業してそう痛感する場面が少なくない。

●経営側のホンネとは?

 一般的な企業・団体の経営者が「情報セキュリティ」に対して持つイメージを挙げてみよう。

・収益に直結しない
・何に金や人を投入しているのか、ほとんどが意味不明
・目に見える実績がない(貴重な金を使いたくない)

 そう、ほとんどの経営者の目にはセキュリティが単なる経費や固定費にしか映らない。セキュリティの仕事は、「費用対効果」という経営者にとって当たり前の発想に全く相応しくないのだ。彼らにとって、会社や団体がトラブルなく運営されるのは当たり前のことであり、その当たり前を維持するために、多くのお金を費やすことなど理解できない。

●これからの考え方

 だが一部の賢い経営者は、情報セキュリティの費用を「戦略的投資」「競合に勝つ必須アイテム」「企業存続ため重要なリソース」と考えるようになってきた。いままでの「必要だから」ではなく、「わが社が大きく飛躍するために先行投資」という発想だ。

 そんな革新的な経営者は、いっそうのこと現場がびっくりするくらいの巨大な投資計画を示してみてはいかがだろうか。少なくとも先進国の中では最下位になると思われる売上に対する情報セキュリティ予算を大きく引き上げるべきだ。その先行投資は、ほぼ間違いなく将来の大きな「実」になる。

 その投資も、まずは「人」にあてるべきだ。セキュリティに関する潜在的なスキルを持っている人でも、いきなり現場でログを分析したり、ネットワークやデータベースを制御したりできるわけではない。現場で先輩社員の仕事を見ながらOJTでスキルを育てることも必要だが、普遍的な論理や技術的な形態を学習することも極めて重要になる。そのことに経営側も現場の管理者も気が付いてほしい。

 日本年金機構で情報漏えいが発生した際、同時に1000社以上がサイバー攻撃を受けたといわれる。しかしそれらの中で攻撃に気が付き、監督官庁や業界団体に報告したところはわずかしかなかった。

 数年前、筆者は米国の高官に「日本ではどうみても毎年1000億円以上のもの価値ある情報が盗まれているのに、だれも声を上げないし政府がその具体的な対応策すらとろうともしていない。不思議な国だ」と語っていた。現場が「なにかおかしい」と経営に直訴し、セキュリティ専門会社が調べれば、ほぼ間違いなく情報漏えいの痕跡やバックドアが見つかり、情報がちょろちょろと漏れ続けているという証拠も発見されるという。

 経営側はいい加減、その現実に気が付かなければならない。現場担当者のスキルの底上げを計画的に実行し、営業費をある程度削減してでも現場が求めている情報セキュリティ対策に必要な資金に回す中長期的な視野に基づいた采配を求めたい。

 「無知は罪悪」という言葉がある。目に見えにくい情報セキュリティの本当の怖さを実感するのが、謝罪記者会見を開く前日というのではあまりにも情けない。

●萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

最終更新:10/14(金) 11:53

ITmedia エンタープライズ

TEDカンファレンスのプレゼンテーション動画

「水中に潜む本当の危機」
インドガリアルとキングコブラはインドの象徴ともいえる爬虫類ですが、水質汚汚濁のために存亡が危ぶまれています。環境保護者のロミュラスウィトカーがこの素晴らしい動物たちの貴重な映像をお見せして、彼らのそして私達の生活を支えている川の保全を訴えます。