[ビジネス・イノベーションを実現する情報セキュリティ対策]

2010年4月30日(金)Security for Business Innovation Council

リスト

　これまで、会社の利益のためにはセキュリティをもっと戦略的なものにする必要があることをCEO（最高経営責任者）に納得させるにあたってCISO（最高情報セキュリティ責任者）がやるべきこととやってはいけないことを取り上げた。だがCEOもこの件に関しては責任を負っている。CEOは、自分の行動や態度が、会社の情報保護の取り組みにどのようなインパクトを与えるかを理解しておく必要がある。情報セキュリティに関して、CEOやそのほかの最高経営責任者、取締役会がどのようにして会社を危機にさらすことになるのかを検証する。

1. 情報に対するリスクを無視する

　CEOやほかの経営陣は、情報に対するリスクを無視したり、十分な時間をかけて考慮しないことがある。競争上の脅威や財政危機など、憂慮しなければならないリスクがほかにも多数あるのが原因だろう。だが現在の社会経済情勢やビジネス状況を考えれば、情報の保護は経営陣が注意を払うべき戦略的な重要事項であることは明らかだ。
　情報侵害は知的財産の喪失や企業ブランドへのダメージ、訴訟、規制問題の原因となる可能性がある。しかも被害は拡大しつつある。不正送金などの違法取引にターゲットを絞ったサイバー攻撃や特製マルウェアによって直接的な財政的損失を被り、支出を余儀なくされる企業が増加している。CEOやその他の経営陣が情報に対するリスクを無視すれば、会社を危険にさらすことになる。

2. トップが誤った方向性を打ち出す

　CEOが情報保護に無関心なカルチャーを作り出すことは、会社を危機に陥れることになる。指導者が情報保護の重要性を考慮しなければ、社員たちも気にしなくなる。経営陣が正しい方向性を打ち出すことが必要だ。情報セキュリティの重要性を積極的に伝え、セキュリティ・ミッションを目に見える形でサポートし、情報セキュリティを全社員の責任として位置付けることだ。

3. マスコミの騒ぎに流される

　サイバー脅威に関する過熱したマスコミの報道は、CEOやほかの最高経営責任者たちを誤った方向に導くことがある。そうした大騒ぎにまき込まれた場合、ニュースで大きく取り上げられるリスクにのみ注意を向けてしまい、自社にとって最も重要なリスクを見失うことになる。

4. 単なる技術的問題として考える

　情報セキュリティは通常、情報テクノロジー部門の管轄であるため、多くの人にとって特殊な技術的分野とみなされている。だが実際には単に技術の問題ではなく、リスク管理の問題である。例えばCEOは、CISOがすべてのノートパソコンを暗号化すれば情報セキュリティ問題を解決できたと考えることがある。だが、大きな視点から状況を把握しない限り、会社はそのほかのあらゆる種類の危険にさらされることになる。

5. 単なるコンプライアンス問題として考える

　サーベンス・オクスリー法（SOX法）から、プライバシーに関する州法や国内法、国際法にいたるまで、データ保護を定めた法規制は多数ある。これらの法規制によって、CEOやほかの最高経営責任者が情報セキュリティのことを意識するようになったのは間違いない。だが最高経営責任者たちがデータ保護をコンプライアンス問題として取り扱った場合、もっとも切迫した危機には対応していないことになる。コンプライアンスでは「チェックリスト」的発想に依存することが多い。だが、これは要件に対して最小限の対応をすることであり、リスクを検証することではない。コンプライアンスが情報リスク管理の重要な促進因子であることは間違いないが、それが最終目標ではないのだ。