中堅企業には中堅企業ならではのセキュリティ対策を：セキュリティ、そろそろ本音で語らないか（5）（3/3 ページ）

[三輪信雄（S&Jコンサルティング株式会社），＠IT]

「お墨付きがある」という危うさ

　さて、大企業がセキュリティ対策について成熟期を迎えつつあることは先にも述べましたが、その結果、「セキュリティ認証を取得しているだけでは心配だ」という考えが広がってきています。これは「セキュリティ認証を取得していますから安心です」と胸を張っている経営者では心配だということです。

　セキュリティ認証を取得しているとセキュリティは大丈夫である、と思い込んでいる方も多いと思いますが、極端ないい方をすれば、これらの認証はセキュリティの強度を表していないのです。

　ついつい公的認証に対する思いが強く出過ぎて、全社的にコストをかけすぎてしまっているケースが少なくありません。情報セキュリティ対策は広く全社員にかかるコストですから、時間当たりの単価に換算すると多大なコストになっています。

　一方、大企業のセキュリティ対策の成熟化に伴い、取引先の評価には「具体的な取り組みはどうなのか」「当社の情報がどう扱われているのか」という具体的な対策が重要性を占めるようになってきました。大事なことは取引先から情報が漏れないことであり、会社全体のマネジメントレベルは身だしなみ程度としてとらえられるようになってきています。

　そのような変化に対応するには「説明できる分かりやすい対策」「特定の情報の取り扱いに関する対策」が取られていることが重要です。取引先を訪問したときに「セキュリティがしっかりしているな」と思わせるような対策が取られていれば好印象になるでしょうし、「貴社の情報はこのような対策が取られています」などと説明されれば安心できます。

　形だけのセキュリティ対策ではなく、効果的で具体的な取り組みをしていることが評価を上げることになります。まだ他社が公的認証取得だけでよいと思っているいまこそ、先んじて「見せるセキュリティ」に取り組むことによって競争力を向上させることになるのではないでしょうか。

　例えば、入退館や入退室でのセキュリティシステムなどの物理セキュリティとITセキュリティの連携などは取引先にも好印象を与えるでしょう。物理セキュリティはその効果が“体感”できるところが長所です。また取引先の情報を具体的なセキュリティシステムで守っていることなどもアピールポイントにできるでしょう。もっと実践的で具体的なセキュリティ対策を取引先にアピール、プレゼンすることでセキュリティ投資を企業競争力強化につなげることができるのです。

「自慢できるセキュリティ」が中堅企業の売りになる

　ある中小企業では取引先に「そのセキュリティシステムを当社にも紹介してほしい」といわれたそうです。中小企業は機動力と柔軟な対応ができることが特徴ですから、取引先に自慢できるような対策は大企業よりも先に取り入れることが可能です。押し付けられるばかりのセキュリティから、自慢できるセキュリティに転換してみてはどうでしょうか。

　また、取引先によっては「いざというときの証拠が残っていることが大事である」という考えを持っているところもあります。これはJ-SOXや内部統制の対策が進んでいる大企業で根付き始めた考えです。取引先から今後「ログを保管していますか」という問い合わせもあることでしょう。

　ログについては別の機会に解説したいと思いますが、メールをはじめファイルへのアクセス履歴、データベースへのアクセス履歴など多岐にわたります。しかしながら、いわれてから対策するよりもその前にログの収集はしておくことで取引先からの安心感は増します。

　ログについてはさまざまなソリューションがありますが、まずはメールソフトやOS、データベースなどの基本機能でのログの収集と安全な保管からであればコストはかかりませんから、まずは設定などをしてみてはいかがでしょうか。

　ログは無秩序に取ってはいけない、ログ取得は設計が必要だ、ともいわれていますが、予算が潤沢にない場合には「まず取ってみる」ことも選択肢だと思います。ログの本格的な運用にはそれなりの予算が必要です。もちろん、十分な予算がある場合や高いセキュリティ意識がある場合には、使えないログがあふれかえらないように入念な設計とログ管理システムの導入をお勧めします。

　セキュリティは、外部／内部、ネットワーク／エンドポイント、ヒト／システム、防ぐ／検知・対応、などさまざまな観点がありますので、1つの面だけにとらわれていてはいけません。中小企業においても取引先の大企業の成熟度に合わせて多面的なバランスを取っていくことが必要ですし、むしろ機動力を生かして先行することも可能です。

　厳しい経済環境が続きますが、こういう経営体力の弱っているいまこそ「泣きっ面にハチ」にならないように守りも固めつつ攻めることができるように知恵を絞りましょう。

Index

中堅企業には中堅企業ならではのセキュリティ対策を

Page1
SMB市場は次の波？
セキュリティ対策がSMBの良さを失わせてはいないか

Page2
「モバイルデバイス持ち歩き厳禁」しか対策はないのか
「気を付けて持て」というセキュリティ対策

Page3
「お墨付きがある」という危うさ
「自慢できるセキュリティ」が中堅企業の売りになる

「セキュリティ、そろそろ本音で語らないか」連載目次

三輪　信雄（みわ　のぶお）

S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント

1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。

そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。

また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。

上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。