第334号コラム:丸山 満彦 監事 (デロイト トーマツ リスクサービス株式会社 代表取締役)
題:「頭を下げるのは社長です」

大きな個人情報の漏えい事件がまたおこりました。社長はテレビカメラの前で、経済産業大臣の前で、深々と頭を下げました。何度このような光景を今までみてきたことでしょう。

さて、最近情報セキュリティについて現場の責任者から「経営者がなかなか情報セキュリティ対策について理解してもらえず、対策予算がでない。こちらとしては、必要と思う最低限のことしか提案をしていないつもりだが、それすらもなかなか必要性を理解してもらえない。それなりの対策をしているものの、毎年要求されるセキュリティ水準は高くなっており、また攻撃手法も高度になっているので、追加の情報セキュリティ対策は必ず発生する。どうすれば、経営者が情報セキュリティ対策についての重要性を理解し、必要なセキュリティ対策実施のための予算をとってくれるのでしょうか?」といったような質問を受けることが多くなっているように思います。

情報セキュリティ対策は、どの程度まで対策をしなければならないのか?どのようなリスクについての対策をしなければならないのか?どのレイヤー(ネットワーク、OS、データベース、アプリケーション等)でのセキュリティ対策を強化する必要があるか?予防的な対策を中心にするのか?発見的対策や対応対策に力をさらに入れるべきか?設計段階でのセキュリティ対策か、運用段階でのセキュリティ対策なのか?セキュリティ対策をする際の制約(予算、技術者、システム、設備等)にはどのようなものがあるのか?などなど、いろいろと検討すべきことがあり、必要と思えるセキュリティ対策を考えることは、多元方程式を解くようで複雑な面もあります。経営者にとっては、わからない用語やなじみの少ない考え方がでてきて、そもそも理解をするのが困難で、判断をするのもままならないということもあるでしょう。しかし、だからといって経営者は必要となるセキュリティ対策についての判断から逃れることはできません。

さて、冒頭の悩みにもどりましょう。現場の管理者は経営者に必要なセキュリティ対策についてどのように提案すればよいのでしょうか?

まず、第一に起こりえるシナリオのうち、影響度の大きなリスクシナリオを取り上げます。例えば、「全顧客リストが標的型攻撃をうけ、データベースからコピーされ、すこしずつ電子メールによって第三者に送信される。」といったようなことです。次に、そのリスクに対して必要と考えられるセキュリティ対策を挙げていきます。その際には、どのレイヤーか、予防的対策や発見的対策なのか考慮します。また、同時に他社事例等をできる限り集め、他社の実施している対策を大きな乖離がないことを確認します。その際に、できれば松竹梅の3段階などで必要となる対策をきめます。そして、現在実施している対策を洗い出し、必要としている対策とのギャップを洗い出します。

これをもって、経営者に必要となるセキュリティ対策として提案をします。もちろん、ベンダー等とも相談をして、必要となる金額、実装をするまでの期間などの概要を加えます。

ここまで提案をして経営者に受け入れられないとなると、もうそこは経営者の資質の問題ですね。あなたは、最後の切り札の言葉を繰り出しましょう。

「頭をさげるのは社長ですから。。。。」

そして、責任をとらされ、トカゲの尻尾となる前に転社活動をしましょう。優秀なあなたの能力を欲している会社はいくらでもあります(^^)。

【著作権は、丸山氏に属します】