目次

1.社会的責任
2.経営責任
3.原因
4.対策
5.専門家として、やるべきこと
6.最後に

社会的責任

これまでベネッセやJTBの記者会見をはじめとして、セキュリティ事故、特に情報漏洩事故が明るみになった際、謝罪会見が数多く開かれてきました。セキュリティ対策の専門家である読者の皆さまも、そうした記者会見の記事や写真を見たことがあるかと思いますが、それらの記事や写真をご覧になって共通点に気付くことはないでしょうか?

セキュリティ事故の謝罪会見の記事や写真を見る度に、筆者としては、以下の思いを強くします。

  • セキュリティ事故に関して謝罪しているのは、システム責任者ではなく、社長以下、会社の役員である
  • 記者会見では、経緯の説明と謝罪のみで、言い訳は一切できない
  • 情報漏洩事故の場合、漏洩件数や漏洩情報内容も当然であるが、件数に関わらず情報漏洩したこと自体が問題視される

つまり、セキュリティ事故に関して、以下の事が言えるのではないかと思うのです。

  • セキュリティ事故は、システム担当者の責任ではなく、社長を含む役員全員の責任である
  • セキュリティ事故の原因が、社内の要因であれ、アタックなどの外部要因であれ、事故を起こした企業が責任を取ることが求められる
  • セキュリティ事故の内容によっては、たった数台のPC、あるいは、たった一人の不注意などから数万件の情報漏洩を招いてしまう
  • たとえ数件の情報漏洩事故でも、情報漏洩そのものが問題となり、経営的なインパクトが大きい
  • セキュリティ事故が原因で、その後の業績に大きな影響が及んだり、長期間の業績低迷を招いたりしている

一度セキュリティ事故を起こしてしまうと、当該企業の評判自体が失墜するだけでなく、追加対策に追われることになります。また、信頼を回復するまでの間は、本来の事業を継続できなかったり、営業活動が制限されたりするなど、その後の業績や経営に与えるインパクトも非常に大きいです。
セキュリティ担当者は、そうした全社的な影響が及ぶ事柄を日々扱っている、と肝に銘じるべきでしょう。

経営責任

経営者やマネジメントチームからすれば、セキュリティ事故を起こしたことに対しては当然責任がありますが、特に外部からのアタックなどの場合、一方では被害者である面もあるはずです。その一方で社会的には、セキュリティ事故が防げなかった、あるいは日頃からのセキュリティ対策を怠っていた、という点で社会的責任を負うことが求められます。
こうした事を考えていると、いつも、これは何かに似ている、と感じます。それは、あたかも黒字予想をしていた企業が何らかの原因で赤字に転落した時の、謝罪会見です。その原因が、円高や突然起こった不況などの不可抗力的な外部要因だったとしても、やはり経営者として、説明と責任を求められます。セキュリティ事故も同様に、たとえそれが外部からの高度なアタックによる不可抗力的な事故だったとしても、企業の経営全体に影響を与える経営上の不祥事、と社会的に捉えられているのです。つまり、セキュリティ事故は経営責任を伴うものなのです。
誰だって業績悪化やセキュリティ事故など望んでいません。それでも、経営責任とは、結果に対する責任であり、現実に起こったことに対する説明と責任を全うすることが求められます。
セキュリティ事故は、企業内のITに関する単なる不幸な事故ではなく、経営全体にインパクトを及ぼす不祥事であり、その責任は、社長をはじめとした経営者が負うことが求められているのです。ここまでくると、経営者は、セキュリティの事がわからない、では済まされません。
すなわち、セキュリティ対策を確実に実施し、自社を脅威から守ることは、セキュリティ担当者に一任しておけば良いものではなく、経営課題として経営者自らが関与し、自社の情報資産を守っていくことが社会的・経営的に求められているのです。財務会計やマーケティングと同様に、MBAの履修科目にセキュリティに関する課程が含まれていても良い程の、重要な経営課題です。

セキュリティ事故の原因

セキュリティ事故の原因について見てみると、かなり手の込んだ攻撃者による不可抗力的な事故もありますが、一方で、読者の皆さまのような専門家からしてみれば、その原因がかなりお粗末だと感じるものも中にはあるのではないでしょうか?
記事などから把握できる内容だけに止まりますが、原因として、例えば担当者がUSBに個人情報をコピーして持ち出していたり、ウイルスの仕込まれたフリーソフトを業務で使っていたりしていた、などの事例もあります。また、セキュリティ対策やセキュリティ・ポリシー自体はしっかりしていたとしても、セキュリティ運用が甘く大きなセキュリティ・ホールが長い間見過ごされていたり、セキュリティ対策がまるっきり担当者任せになっていたりしていたのではないか、と見受けられる事例もあります。
大規模な情報漏洩だからといって、必ずしも複雑なことや高度なことが原因なのではなく、ちょっとした事で防げるような単純なことが原因だった、ということもあります。

セキュリティ対策

セキュリティの専門家以外からすれば、セキュリティ対策は何かを生み出す訳でもなく、その必要性や効果がわかりづらい部分があります。また、そもそも何が脅威なのか把握すること自体に専門知識が必要で、理解が難しい、ということもあります。そのため、セキュリティ対策への投資が後回しになりがちなのも、わからないでもないです。
しかし、高額な費用を必要とする高度なセキュリティ対策が求められる一方で、単純なセキュリティ対策を着実に実行する、ということもまた、セキュリティ事故を防ぐ上では極めて重要なことです。例えば、外部記憶媒体への書き込みを制限する、私用などで持ち込まれたPCが社内ネットワークに接続できないようにする、リスクのあるサイトへのアクセスを制限する、ウイルス対策ソフトを常に最新のものにアップデートしておく、などがそれにあたります。これらの対策にはセキュリティ・ツールの導入も必要となり、確かにそれなりの投資も掛かりますが、対策自体は難易度が高いものではなく、すぐにでもできるものです。
高度なセキュリティ対策にせよ、基本的なセキュリティ対策にせよ、網羅的なセキュリティ対策を実施しておくことが重要です。いくら高度なセキュリティ対策を実施していたとしても、ウイルス対策ソフトがアップデートされていなかったのでは意味がありません。中途半端なセキュリティ対策ほど、無駄なものはないということです。
全くセキュリティ対策を施さない企業は論外としても、せめて基本的なセキュリティ対策は全て押さえて実施してほしいものです。簡単なセキュリティ対策を実施しなかったがためにセキュリティ事故を招いてしまい、会社全体に長期間にわたって悪影響を及ぼしたのでは、経営者もセキュリティ担当者も、やるせないことにしかなりません。

専門家として、やるべきこと

セキュリティ対策が経営課題だからと言って、当然こうした対策を経営者任せにして良いわけではありません。
セキュリティ対策に必要なことは、まず自社の事業の特徴を見極め、自社のセキュリティ・リスクを洗い出すことから始まります。その次に、セキュリティ・リスクを回避するために必要となる自社のセキュリティ・ポリシーの立案を行うことが必要です。ここまでは、それぞれに専門的な知識や知見が求められるため、経営陣とセキュリティ担当者が共同で行う必要があります。
その後、セキュリティ担当者は、セキュリティ・ポリシーを実行するための具体的な対策を進めます。セキュリティ対策を実施するにあたっては、セキュリティ・ツールの導入も必要となり、場合によっては、そのための投資の意思決定を承認してもらう必要があります。その場合でも、経営陣とセキュリティ担当者との間で認識の共有ができていれば、投資の意思決定も早くなされることでしょう。セキュリティ・ツールを導入し、全社的なセキュリティ教育を実施し、セキュリティ運用に関して責任をもってその運用状況を把握し、リスクと改善点を見極める。そうしたセキュリティに関するPDCAを着実に回していくのは、セキュリティ担当者の役割です。
前述したように、セキュリティ対策は投資に対して見合う効果や必要性が認識しづらい、という面があります。セキュリティ担当者は、専門的なセキュリティ対策を着実に実施していくだけでなく、セキュリティの専門家ではない経営者に対しても、その必要性や重要性をわかりやすく説明する必要があります。
そのためには、事故に至らないまでも事故に至る可能性のあった危険な社内・外の事例や自社に対する脅威の実態を、積極的に情報収集し、情報を社内に開示し、説明をしていかなければなりません。それは、あたかも工場でヒヤリ・ハットの事例を工場全体で共有して安全性を継続的に高める活動に似ています。
場合によっては、例えば月例の役員会の中で、様々な経営課題の一環としてセキュリティに関する報告を定期的に受けたり、対応や方針を指示したりすることも必要になる場合もあるでしょう。
例えば、社内のウイルスの検出数やセキュリティ・ポリシー違反の事例などを収集しわかりやすく整理して、セキュリティの専門家ではない経営者や全社員に対し、情報発信や個別機会を捉えて説明を継続的にする、などの努力が必要となります。それがひいては、投資と運用の両面から、自社のセキュリティ対策を万全なものへと近づけていく環境を整えることにつながるのです。

最後に

最初に述べたように、企業は一度セキュリティ事故を起こしてしまうと、言い訳の余地がなく、その責任を社会的に負うことが求められます。
セキュリティ対策を考えるにあたっては専門的な技術や知見が必要となることも多く、また、理解しづらいが故に積極的な投資対象として見なされづらい面もあります。しかし、セキュリティ対策は、いまや企業全体にとって極めて重要な経営課題の1つであり、経営者もセキュリティ担当者も、そのことを肝に銘じつつ、互いに協力して着実に対策を進めていくことが必要なのです。