インプレスは、IT Leaders特別セミナー「攻めの時代にこそ急浮上する『情報ガバナンスとデータ保護』のあり方」を2016年7月21日に都内で開催した。当日の主要なトピックを紹介する。
社内外にまたがる業務プロセスをすべて“デジタル”で処理しデータとして管理できるIT基盤は企業活動の可能性を大きく広げる一方で、リスクの元凶など“負の側面”と常に背中合わせであることを念頭に置かなければならない。外部からのサイバー攻撃、従業員の故意や過失、あるいは自然災害によって緊急事態に直面した時、企業活動の要となるデータ保護に向けて、いかに合理的かつ効果的な対処策を講じられるかが極めて重要となるのは言を俟たない。
では、具体的にどのように取り組んでいけばよいのか。そこにフォーカスして開催されたのが当セミナーだ。以下に当日のトピックを紹介する。
組織にとって致命傷になるようなリスクを最優先する
最初の基調講演に登壇したのは、オリンパスの鈴木均氏(経営統括本部 内部統制統括部 内部統制企画担当部長)だ。同社において初代情報セキュリティ統括室長を担い、その後は監査室長を務めてきた経験を持つ鈴木氏は、自らの経験にも照らしながら、示唆に富む話を繰り広げた。
冒頭で同氏は、ベネッセコーポレーション(2014年)、日本年金機構(2015年)、ジェイティービー(2016年)といった、ここ数年内に発生した情報漏洩事件に言及。いずれも漏洩件数が膨大であることに触れ、いざ事を起こしてしまった時のインパクトが甚大であることを改めて強調した。
その一方、現場の担当者にしてみれば「これで完璧」という策はなく、非常に悩ましい状況に置かれていることを指摘。「例えばベネッセは、日頃からログを取得したり、しきい値を超えたデータのダウンロードがあった先にはアラートを出すなどの策を講じていたと聞きます。第三者委員会の専門家が後から不備を指摘するのはたやすいことですが、昨今の手口が巧妙化していることを鑑みれば、なかなか対策が追い付かないということを私も実感してきました」と語り、「個人情報を漏らされた顧客、そして社会的信用を失墜した企業。本当の被害者はいったい誰なのかということを常に考えてきました」と続けた。
そうした状況に対峙する企業の基本的アプローチについて話を転じた鈴木氏は、まず不正が発生するメカニズムについて解説した。ここでは米国の犯罪学者、ドナルド・クレッシー氏が唱える「不正のトライアングル」理論を参照。それは、3つの要件─(1)不正を許す機会、(2)不正をはたらく動機、(3)不正の実行を理由付けする正当化─が揃った時に不正が発生するというもので、その1つでも断ち切れば、不正は起こりにくくなるという考え方だ。
それを念頭に置いた上で、リスクマネジメントのアプローチの一環として情報セキュリティに臨むことを説いた。リスクマネジメントとは、「組織を取り巻く様々なリスクをコントロールし利益を最大化すること」であり「リスクコントロールとは、対策を打った後に残ったリスクを許容範囲内に収めること」である。そこには「リスク評価(リスクの特定→リスクの分析→リスクの評価)」と「リスク対応」の2つのプロセスであり、リスク対応の結果については、モニタリングとレビューがなされ、関係者との適切なコミュニケーションが行われることが欠かせない。
さらに具体論に踏み込んだ鈴木氏は、(1)すべて守ろうと考えずに、組織にとって致命傷になるようなリスクを優先する、(2)リスクの高い領域にリソース(人、もの、金)を集中させる、(3)リスクの低い領域では、対策のレベルを下げてリスクを受容することも視野に入れる、といったポイントを説明。予防発見だけでなくインシデントが発生した際の危機管理も一緒に考えることや、コストより統制の効果が上回らなければならないことについても解説を加えた。
「攻撃の85%がよく知られた脆弱性のトップ10を突いたものという調査もあります。“あたりまえのことをちゃんとやる”という基本を忘れないことがベースであり、その上で、メリハリを効かせたアクションを採ることが現実的ステップです」と鈴木氏。最後には、監査視点から見たポイントとして、「正当な職業的懐疑心」を発揮することの重要性を強調した。それは日頃からリスク感覚を磨くことであり、“ヒヤリハット”レベルでの予兆発見が、重大な事件や事故を防ぐことにつながるという指摘である。何かおかしいと思ったら速やかなアラートをあげ、周囲に相談する習慣が、情報セキュリティ、そしてリスクマネジメントの起点となるのである。
PCから業務システムまでを対象とした注目ソリューション
続くセッションの壇上に立ったのは、日本ヒューレット・パッカード(HPE)の峰尾信太郎氏(ソフトウェア事業統括 インフォメーション・マネジメント事業本部 セールスコンサルタント)。企業のリスク要因となり得る膨大なデータを適切に保護し、管理運用の簡素化とコスト削減を実現するソリューションを中心に解説した。
峰尾氏はまず、企業を取り巻くデータの最新動向を整理。周知の通り、業務システムに蓄える構造化データのみならず、昨今では機器や人々などが発信する非構造化データが桁違いに増えている。データ容量は加速度的に増え、しかもそのほとんどが2年以内に生成されたものという報告もある。
データはビジネスと密接にからむ重要な経営資源であると同時に、万が一、漏洩や消失といったインシデントが起これば多大なインパクトを与える。データが桁違いに増えていることは、チャンスもリスクも拡大しているということだ。こうした情報を踏まえ峰尾氏は「新たな時代に相応しいデータ保護、データガバナンスの環境を整備することが、攻めのビジネスを支えるベースとなるのです。さらに、ランサムウェアという新たな脅威を担保する策も最終的にはデータバックアップに他なりません」と会場に訴えた。