[グローバルCISOの提言─ビジネス変革を実現する情報セキュリティ対策]

2010年4月19日(月)Security for Business Innovation Council

リスト

　情報セキュリティ担当役員がCEO（最高経営責任者）に「情報セキュリティは戦略的なものだ」と納得させるためにまず始めるべきことは、現在のCEOのポジションを確認することだ。CEOのセキュリティに対する見方は、業界や法規制、知的財産に応じて異なる。自社が情報を保護する必要があるのは、自社を取り巻く市場や法律、競争環境面での課題があるからだ。第三者との関係や企業規模にもよる。つまり、自社が誰とどれだけの量の情報を交わしているかによって、セキュリティに関する見方が異なるということだ。

　CEOたちは以前に比べ、情報セキュリティを重視するようになった。理由は単純で、今日は企業運営においてITへの依存度が極めて高くなっているからだ。日常業務や生活にインターネットやモバイル通信が浸透してきた現在、セキュリティ事故やIDの盗難を直接的または間接的に経験したCEOも少なくないはず。一方、政府や業界団体は、データ保護を義務付けるなどして規制を強化している。メディア、とりわけ業界紙が大規模なデータ違反を大きく取り上げるようになり、CEOのセキュリティに対する意識も高まってきた。今や、情報セキュリティはCEOが検討すべき事項であることは明確である。

　今日では、情報セキュリティ戦略の重要性をほとんどのCEOが認識している。セキュリティ調査会社である米Ponemon InstituteがCEOを対象に実施した最近の調査「Business Case for Data Protection」では、回答者の87％が「組織のデータ保護戦略を策定すること」が重要、または非常に重要と答えている。一方で調査対象のCEOの77％が、ノートPCの紛失/盗難やストレージ・メディアの不適切な処分がデータ流出の最大のリスクとみなしている。米SANS Instituteが先頃発表したサイバー・セキュリティのリスクに関するレポート「Top Cyber Security Risks September 2009」では、Webアプリケーションに対する攻撃や、ターゲットを絞ったフィッシング攻撃こそが最大のダメージをもたらす可能性があると結論づけている。

　CEOたちは単に情報セキュリティに関するリスクについて誤解しているだけでなく、ほかのエグゼクティブたちに比べてリスクを過小評価する傾向がある。たとえば「Business Case for Data Protection」の調査対象となったCEOの過半数（68％）は、ハッカーが企業データにアクセスを試みるのはまれで、せいぜい週に1回程度だと考えている。一方で他のエグゼクティブの53％は、会社のデータは毎日あるいは毎時間ごとに攻撃を受けていると考えている。