[ビジネス・イノベーションを実現する情報セキュリティ対策]

現況:CEOは情報セキュリティをどう見ているか―CISO-CEO間の隔たりを埋めるために Part3

2010年4月19日(月)

EMCの情報セキュリティ部門であるRSAセキュリティ。同社が主催するセキュリティに関する協議会「Security for Business Innovation Council」がまとめた、2010年度のセキュリティレポ―トの内容を公開する。世界の大企業のエグゼクティブたちの考え方が凝縮されたその内容は、2010年度のセキュリティ戦略立案に当たって大いに参考になるだろう。[編集部]

 情報セキュリティ担当役員がCEO(最高経営責任者)に「情報セキュリティは戦略的なものだ」と納得させるためにまず始めるべきことは、現在のCEOのポジションを確認することだ。CEOのセキュリティに対する見方は、業界や法規制、知的財産に応じて異なる。自社が情報を保護する必要があるのは、自社を取り巻く市場や法律、競争環境面での課題があるからだ。第三者との関係や企業規模にもよる。つまり、自社が誰とどれだけの量の情報を交わしているかによって、セキュリティに関する見方が異なるということだ。

 CEOたちは以前に比べ、情報セキュリティを重視するようになった。理由は単純で、今日は企業運営においてITへの依存度が極めて高くなっているからだ。日常業務や生活にインターネットやモバイル通信が浸透してきた現在、セキュリティ事故やIDの盗難を直接的または間接的に経験したCEOも少なくないはず。一方、政府や業界団体は、データ保護を義務付けるなどして規制を強化している。メディア、とりわけ業界紙が大規模なデータ違反を大きく取り上げるようになり、CEOのセキュリティに対する意識も高まってきた。今や、情報セキュリティはCEOが検討すべき事項であることは明確である。

 今日では、情報セキュリティ戦略の重要性をほとんどのCEOが認識している。セキュリティ調査会社である米Ponemon InstituteがCEOを対象に実施した最近の調査「Business Case for Data Protection」では、回答者の87%が「組織のデータ保護戦略を策定すること」が重要、または非常に重要と答えている。一方で調査対象のCEOの77%が、ノートPCの紛失/盗難やストレージ・メディアの不適切な処分がデータ流出の最大のリスクとみなしている。米SANS Instituteが先頃発表したサイバー・セキュリティのリスクに関するレポート「Top Cyber Security Risks September 2009」では、Webアプリケーションに対する攻撃や、ターゲットを絞ったフィッシング攻撃こそが最大のダメージをもたらす可能性があると結論づけている。

 CEOたちは単に情報セキュリティに関するリスクについて誤解しているだけでなく、ほかのエグゼクティブたちに比べてリスクを過小評価する傾向がある。たとえば「Business Case for Data Protection」の調査対象となったCEOの過半数(68%)は、ハッカーが企業データにアクセスを試みるのはまれで、せいぜい週に1回程度だと考えている。一方で他のエグゼクティブの53%は、会社のデータは毎日あるいは毎時間ごとに攻撃を受けていると考えている。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

バックナンバー
ビジネス・イノベーションを実現する情報セキュリティ対策一覧へ
関連記事

現況:CEOは情報セキュリティをどう見ているか―CISO-CEO間の隔たりを埋めるために Part3EMCの情報セキュリティ部門であるRSAセキュリティ。同社が主催するセキュリティに関する協議会「Security for Business Innovation Council」がまとめた、2010年度のセキュリティレポ―トの内容を公開する。世界の大企業のエグゼクティブたちの考え方が凝縮されたその内容は、2010年度のセキュリティ戦略立案に当たって大いに参考になるだろう。[編集部]

PAGE TOP