海外を旅すると、いかに日本が安全な国であるかを痛感する人は、多いのではないだろうか。筆者もその一人で、日本ほど安全に一人で夜道を歩ける国はないとさえ思っている。半面、その安全・安心に浸っているうちに、国防においても日常においても、セキュリティの他人依存と、ある種の“セキュリティ呆け”を起こしていることが気にかかる。企業における情報セキュリティも同様だ。表面的あるいは問題対応型の対策に終始し、本質に思慮が至っていないケースが多く見受けられる。
国の情報セキュリティ基本計画
今年2月に発表された「第2次情報セキュリティ基本計画」を、ご存じだろうか?政府のIT戦略本部の下に設置された「情報セキュリティ政策会議」が承認した、“情報セキュリティに関する国全体の設計図”と言えるものである。
実際の議論・策定は、同会議の中に設けられた「基本計画検討委員会」が担当し、1年間の議論とパブリックコメントを経て策定されている(ちなみに筆者も委員会に参画していた)。
第1次の基本計画は、「情報セキュリティ政策の立ち上げと気づき」を主眼としていたが、第2次は「事故を前提とした社会」を認識し、現実的で合理性なセキュリティ施策を求めている点が特徴である。つまり12月号の本欄に書いた「情報システムに無謬性は有り得ない」と同様に、まず情報セキュリティにも無謬性がないことを認識。その上で経済性と効果を考慮して、必要な対策を実行すべきというものだ。
特に金融や運輸、公共といった重要インフラについては、障害リスク対策のための各分野横断的な情報共有を担う「セプターカウンシル」という会議体も創設した。「計画で示されたことを、どこまで確実に実践できるか」という課題は残るが、現実的な計画になったと思う。
外部だけでなく内部にも留意を
一方、一般企業にとっての情報セキュリティは、経営におけるリスク管理の要素の一つであり、それだけが特別扱いされることは好ましくない。まして情報システム部門に押し付けているだけでは、リスクコントロールはできない。入退室管理、破壊行為の防止といったフィジカルなセキュリティや、逆にシステムをいつでも使える状況を担保することも、包含する必要がある。IT利用環境には無謬性がなく、脆弱であることを前提に、リスク管理をしなければならない。
ここで注意すべきなのが、情報セキュリティ問題というと、ともすれば外部からの不正アクセスや侵入、攻撃などに目がいってしまうことである。確かに経済的な利益を目的とする悪質なソフトウェアや迷惑メール、外部からの遠隔操作で攻撃する特殊なウィルス「ボット」など、巧妙化した攻撃ツールは増加傾向にある。それを阻止する対策は必要であり、きちんと実施しなければならない。
しかし情報セキュリティ問題の実態からすると、一般企業にとっての脅威は、外部よりもむしろ社内や取引関係先など、「内部」に起因するものがはるかに多い。しかも厄介なことに、大半は人的問題である。
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- 韓国に訪れてデジタル社会を再認識、日本の遅れを考察する(2024/03/28)
- IT関連の紛争にも有用、裁判に代わる紛争解決手段「ADR」活用のすすめ(2024/02/29)
- オーガニック農産物について考える(2024/02/08)
- 中小企業のDXを推進すれば、日本の復活につながる!(2023/12/28)
- 気にしながらも、実はよくわからない食品添加物問題(2023/12/01)
