2005年は、日本企業が本格的にセキュリティ対策に取り組んだ、大きな節目の年となった。あらためていうまでもなく、4月から、個人情報保護法が本格的に施行されたことが要因となっている。
しかし、法律が施行されたことで、「企業内にある情報の中で、保護すべきものは個人情報に限らない。にもかかわらず、個人情報保護法が大きくクローズアップされたために、それ以外の情報の管理が甘くなっている」とセキュリティコンサルタントは指摘する。そして、企業がセキュリティの重要性を認識している今こそ、「セキュリティ責任者を置き、本格的なセキュリティ対策をとるべき時期だ」と提言する。
■ 認証取得だけを急ぐと思わぬ落とし穴も、個々の企業に適した対策が必要
|
インターネットセキュリティシステムズのプロフェッショナルサービス部・山口毅治シニアディレクター
|
|
三井物産セキュアディレクションの執行役員、櫻井真ソリューション事業部長
|
「企業のセキュリティ対策導入のピークは、実は2005年ではなく、2004年だった」-インターネットセキュリティシステムズのプロフェッショナルサービス部・山口毅治シニアディレクターは振り返る。
2005年4月に個人情報保護法が施行されることから、その前年に対策をとる企業が急増したのだという。
「企業の大小を問わず、取り引きをしている親会社、関連会社から、『セキュリティ認証を取得していない企業とは取り引きできない。プライバシーマークなど第三者機関が発行するセキュリティ認証を取得して欲しい』という通達を受ける企業も多かった。その通達に対応するためのセキュリティ対策をとる企業が多かった」(山口シニアディレクター)
プライバシーマークをはじめとした外部認証機関の発行するセキュリティ認証は、企業が本格的なセキュリティ対策をとるためには有用な手段である。全社的にセキュリティの必要性を認識し、対策をとっていく必要があるからだ。
だが、「なぜ、セキュリティ対策が必要なのか」という根本的な部分を考慮せず、認証取得を急ぐと思わぬ落とし穴が待っていることもあると、三井物産セキュアディレクションの執行役員、櫻井真ソリューション事業部長は警告を発する。
「認証取得を急ぐあまり、あまりにも厳しい基準を設けてしまうと、業務に支障を来すといった事態が起こりかねない。一番、重要なのは、『きちんと運用ができるセキュリティ対策』であること。認証を取得しても、運用することが難しいとなると、一度取得した認証を取り消されるといった事態も起こりかねない。認証をとるのが最終目的ではなく、その企業の業務に適したセキュリティ対策をとって、それを継続的に運用していく体制をとることこそ重要だろう」
また、企業に適したセキュリティ対策となると、その内容は「当然、企業ごとに異なる」とエム・ファクトリーの執行役員 プロフェッショナルサービス本部、ビト・モリナロ本部長は話す。「企業がもっている情報はそれぞれに異なり、必要な対策も当然異なってくる」というのである。
具体的な例をあげてみよう。企業のヘルプデスクを請け負う企業であれば、シンクライアントのように、引き出せる情報や機能に制限を設けることも有効だ。個人情報を数多く扱っているので、個人情報保護法対策も必要になってくる。
しかし、ハードウェアの設計を行っている企業では、三次元CADのようにシンクライアントでは利用しにくいアプリケーションを利用することが多い。扱っている情報の中にも個人情報はほとんど含まれない。個人情報保護という観点での対策はほとんど必要ないかもしれないが、設計した製品に関する情報が外部に流出することがないよう対策が必要となる。
企業や業務によって、守るべき情報は異なり、とるべき対策も異なってくる。
■ 全社的に対策をとるためには「セキュリティ責任者」が必要
|
エム・ファクトリーの執行役員 プロフェッショナルサービス本部、ビト・モリナロ本部長(CISSP)
|
企業が本格的にセキュリティ対策をとる際、「そういう人物がいることが望ましい」とセキュリティコンサルタントが口をそろえるのが、「セキュリティ責任者」である。
セキュリティ責任者は、「チーフ・セキュリティ・オフィサー=CSO」、「チーフ・インフォメーション・セキュリティ・オフィサー=CISO」といった肩書きをもつ、企業のセキュリティ対策の総責任者である。
なぜ、セキュリティ責任者を置く必要があるのか。まず、対策を取る上でのリソース確保という意味でも、そういう人材が必要だという。
「例えば、外部認証を受けてセキュリティ対策をとるとしても、人、物、金の投入が必要になる。経営陣が了承した上で、対策をとっていく必要がある」(三井物産セキュアディレクション・櫻井事業部長)
また、企業トータルな対策をとるには、責任者の管轄のもと、対策をとっていく必要がある。
「企業のセキュリティ対策には、現場が主導で対策をとる場合と、トップが先導して対策をとっていく場合とがある。現場が対策をとると、問題がある部分だけに対策をとる、パッチワーク的な対策になりがち。全社的な視点で考えていかないと、本質的な対策にはならない。権限をもったセキュリティ責任者のもと、対策をとる方が望ましい」(インターネットセキュリティシステムズ・山口シニアディレクター)
全社的なセキュリティ対策と、問題点のみの対策の違いを具体的に説明すると次のようになる。情報漏えいがあった場合、漏えいを行った部門を捜し出して、ソフトやハードを導入して、対策をとったとする。
だが、実はそのデータベースには、トラブルがあった部門だけではなく、ほかの部門からもアクセスできる。本来は全社的に情報漏えいが起こりそうな部分はないか、洗い出しをして、その上で対策をとる必要がある。
一方、現場でのみ対応しようとすると、問題がある部分だけの対策にとどまりやすい。現場の担当者は、自分が所属する部門の対策をとる権限はあっても、全社の見直しをする権限はもっていない、といった場合が多いからだ。
しかも、「セキュリティ対策を徹底するためには、責任者や担当者だけが対応すればいいというわけではない。全社的にセキュリティ対策が必要であることを認識し、社員、一人、一人がその必要を認識するような環境を整えなければ、対策をとっても意味はない」とエム・ファクトリーのモリナロ本部長は指摘する。
ふかん的に社内の問題点を洗い出し、対策をとる。そのためには、きちんと権限をもって、対策をとる、「セキュリティ責任者」が必要なのである。
次回は、セキュリティ責任者の仕事とはどんなものなのか、またセキュリティ対策を支援する体制としてはどういった組織が必要になるか、といったことに焦点を当ててお伝えする。
■ URL
三井物産セキュアディレクション株式会社
http://www.mbsd.jp/
インターネットセキュリティシステムズ株式会社
http://www.isskk.co.jp/
株式会社エム・ファクトリー
http://www.mfactory.tv/
( 三浦 優子 )
2005/08/10 00:00
|