情報セキュリティコスト削減、4つのアプローチ:セキュリティ、そろそろ本音で語らないか(2)(3/3 ページ)
セキュリティコストの削減はいつ、どのようにして実行すべきなのでしょうか。その削減方法と考え方は日本的になっていませんでしょうか。言いたくても言えなかったことをズバリ指摘する連載、第2回はコスト削減の手法について解説します(編集部)
ISMS認証取得組織数の不思議
ISMS認証の取得組織数のうち、なんと57%が日本で、これは世界でダントツのトップです。これは何を意味しているのでしょうか。日本のセキュリティ対策は世界でもずば抜けて進んでいるということでしょうか。
認証推進団体の努力によるところが大きいと思われますが、政府の入札条件や大手企業の取引先選定条件になっていたりすることも大きな要因でしょう。PDCAのマネジメントシステムが社内に構築され定着することは良いことに違いないのですが、それ自体をセキュリティ対策と勘違いしているのでは、と筆者は考えています。
「お上」が決めたことに従う、「お上」に決めてもらわないと自分では考えられない、考えたくない、という日本独特の文化が影響しているのかもしれません。
例えば、情報資産の洗い出し作業という永遠の作業を繰り返して資産価値の評価を行い、それに対するリスクと発生確率から対策を選択するというような、理論的にはパーフェクトと思われる手法を延々と繰り返すのですが、なぜISMS認証発祥の地であるイギリスは世界3位なのでしょうか。なぜ情報セキュリティ先進国とされている米国は中国、韓国よりも下位なのでしょうか。
それは筆者の推測では、PDCAを回すことを最初の目的かつゴールにしている日本と、そもそもの対策ができてからその対策が浸透し向上するようにマネジメントシステムを活用しようとしている欧米との違いがあるのではないでしょうか。
安易に「〜禁止」「慎重に取り扱う」などのルールだけさっさと作って、それをひたすら教育、啓発活動を繰り返し、ノートPCの持ち出し管理台帳の記入徹底を朝礼で通達を繰り返し、人事異動のたびに情報資産の洗い出しに没頭する。しかし漏えい事件は減らず、そのたびに周知徹底を繰り返す。このことに日本人は疑問をあまり感じないのかもしれません。
先日お話ししたある都銀のセキュリティ推進担当者は、金融庁から降りてくる指示に従っていればよくて、それ以上でもそれ以下でもいけない、という業務に疑問を持っているのだけれどもいい出せない、とおっしゃっていました。無駄だと思っていること、不十分で強化すべきところがあっても実践できないというのです。
今回はここまでとさせていただきます。 最後に、時々筆者が隠れ家として通っている銀座の地下のバーに、ハッカーの発祥の地、MITのミュージアムに売っていた「Nightwork: A History of Hacks and Pranks at MIT」を寄贈してきました。
時代の激動の影響をいつも大きく受けながらも変化しながら生き続ける銀座で、グラスを傾けながら次回の構想を練っています。そして、氷河期という環境の大変化に対応できなかった恐竜のようにならないように、情報セキュリティ業界が変化することを切に願っています。
三輪 信雄(みわ のぶお)
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。
そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。
また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。
上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。
Copyright © ITmedia, Inc. All Rights Reserved.