海外を旅すると、いかに日本が安全な国であるかを痛感する人は、多いのではないだろうか。筆者もその一人で、日本ほど安全に一人で夜道を歩ける国はないとさえ思っている。半面、その安全・安心に浸っているうちに、国防においても日常においても、セキュリティの他人依存と、ある種の“セキュリティ呆け”を起こしていることが気にかかる。企業における情報セキュリティも同様だ。表面的あるいは問題対応型の対策に終始し、本質に思慮が至っていないケースが多く見受けられる。
国の情報セキュリティ基本計画
今年2月に発表された「第2次情報セキュリティ基本計画」を、ご存じだろうか?政府のIT戦略本部の下に設置された「情報セキュリティ政策会議」が承認した、“情報セキュリティに関する国全体の設計図”と言えるものである。
実際の議論・策定は、同会議の中に設けられた「基本計画検討委員会」が担当し、1年間の議論とパブリックコメントを経て策定されている(ちなみに筆者も委員会に参画していた)。
第1次の基本計画は、「情報セキュリティ政策の立ち上げと気づき」を主眼としていたが、第2次は「事故を前提とした社会」を認識し、現実的で合理性なセキュリティ施策を求めている点が特徴である。つまり12月号の本欄に書いた「情報システムに無謬性は有り得ない」と同様に、まず情報セキュリティにも無謬性がないことを認識。その上で経済性と効果を考慮して、必要な対策を実行すべきというものだ。
特に金融や運輸、公共といった重要インフラについては、障害リスク対策のための各分野横断的な情報共有を担う「セプターカウンシル」という会議体も創設した。「計画で示されたことを、どこまで確実に実践できるか」という課題は残るが、現実的な計画になったと思う。
外部だけでなく内部にも留意を
一方、一般企業にとっての情報セキュリティは、経営におけるリスク管理の要素の一つであり、それだけが特別扱いされることは好ましくない。まして情報システム部門に押し付けているだけでは、リスクコントロールはできない。入退室管理、破壊行為の防止といったフィジカルなセキュリティや、逆にシステムをいつでも使える状況を担保することも、包含する必要がある。IT利用環境には無謬性がなく、脆弱であることを前提に、リスク管理をしなければならない。
ここで注意すべきなのが、情報セキュリティ問題というと、ともすれば外部からの不正アクセスや侵入、攻撃などに目がいってしまうことである。確かに経済的な利益を目的とする悪質なソフトウェアや迷惑メール、外部からの遠隔操作で攻撃する特殊なウィルス「ボット」など、巧妙化した攻撃ツールは増加傾向にある。それを阻止する対策は必要であり、きちんと実施しなければならない。
しかし情報セキュリティ問題の実態からすると、一般企業にとっての脅威は、外部よりもむしろ社内や取引関係先など、「内部」に起因するものがはるかに多い。しかも厄介なことに、大半は人的問題である。
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- 「建設DX」の実態と、厳しさを増す持続可能性(2024/10/02)
- 過剰なハラスメント意識が招く日本の萎縮(2024/08/27)
- 日本の死生観の変化がもたらす将来(2024/08/07)
- 銀行窓口業務の効率化、なぜ今もできない?(2024/06/24)
- 「消滅可能性自治体」の報道に思うこと(2024/05/31)