検索
連載

情報セキュリティコスト削減、4つのアプローチセキュリティ、そろそろ本音で語らないか(2)(3/3 ページ)

セキュリティコストの削減はいつ、どのようにして実行すべきなのでしょうか。その削減方法と考え方は日本的になっていませんでしょうか。言いたくても言えなかったことをズバリ指摘する連載、第2回はコスト削減の手法について解説します(編集部)

Share
Tweet
LINE
Hatena
前のページへ |       

ISMS認証取得組織数の不思議

 ISMS認証の取得組織数のうち、なんと57%が日本で、これは世界でダントツのトップです。これは何を意味しているのでしょうか。日本のセキュリティ対策は世界でもずば抜けて進んでいるということでしょうか。

 認証推進団体の努力によるところが大きいと思われますが、政府の入札条件や大手企業の取引先選定条件になっていたりすることも大きな要因でしょう。PDCAのマネジメントシステムが社内に構築され定着することは良いことに違いないのですが、それ自体をセキュリティ対策と勘違いしているのでは、と筆者は考えています。

 「お上」が決めたことに従う、「お上」に決めてもらわないと自分では考えられない、考えたくない、という日本独特の文化が影響しているのかもしれません。

 例えば、情報資産の洗い出し作業という永遠の作業を繰り返して資産価値の評価を行い、それに対するリスクと発生確率から対策を選択するというような、理論的にはパーフェクトと思われる手法を延々と繰り返すのですが、なぜISMS認証発祥の地であるイギリスは世界3位なのでしょうか。なぜ情報セキュリティ先進国とされている米国は中国、韓国よりも下位なのでしょうか。

 それは筆者の推測では、PDCAを回すことを最初の目的かつゴールにしている日本と、そもそもの対策ができてからその対策が浸透し向上するようにマネジメントシステムを活用しようとしている欧米との違いがあるのではないでしょうか。

 安易に「〜禁止」「慎重に取り扱う」などのルールだけさっさと作って、それをひたすら教育、啓発活動を繰り返し、ノートPCの持ち出し管理台帳の記入徹底を朝礼で通達を繰り返し、人事異動のたびに情報資産の洗い出しに没頭する。しかし漏えい事件は減らず、そのたびに周知徹底を繰り返す。このことに日本人は疑問をあまり感じないのかもしれません。

 先日お話ししたある都銀のセキュリティ推進担当者は、金融庁から降りてくる指示に従っていればよくて、それ以上でもそれ以下でもいけない、という業務に疑問を持っているのだけれどもいい出せない、とおっしゃっていました。無駄だと思っていること、不十分で強化すべきところがあっても実践できないというのです。


Nightwork: A History of Hacks and Pranks at MIT

 今回はここまでとさせていただきます。 最後に、時々筆者が隠れ家として通っている銀座の地下のバーに、ハッカーの発祥の地、MITのミュージアムに売っていた「Nightwork: A History of Hacks and Pranks at MIT」を寄贈してきました。

 時代の激動の影響をいつも大きく受けながらも変化しながら生き続ける銀座で、グラスを傾けながら次回の構想を練っています。そして、氷河期という環境の大変化に対応できなかった恐竜のようにならないように、情報セキュリティ業界が変化することを切に願っています。

Index

情報セキュリティコスト削減、4つのアプローチ

Page1
ぞうきんは絞れる方がいい
セキュリティ基本計画で「コスト」という言葉が頻出する理由

Page2
コスト削減の基本的な考え方
-システム投資コスト:システムそのものへの支払いを減らせ-マネジメントコスト:できる限り自動化せよ
-知的生産性向上:士気を下げるな
-クラウドコンピューティング:新技術、そして相手を信じよ

Page3
ISMS認証取得組織数の不思議


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

三輪 信雄(みわ のぶお)

S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント

1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。

そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。

また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。

上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。


前のページへ |       

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  2. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
  3. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  4. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  5. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  6. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  7. SBOMの本質を大阪大学 猪俣教授が語る――「うちのソフトは大丈夫なんです」とユーザーにどう証明する?
  8. Google、「パスキー」のアップデートを発表 新たに導入された「パスワードマネジャーPIN」とは?
  9. 「Amazonプライム感謝祭」に関するフィッシング攻撃を確認、注意すべき7つのポイントとは チェック・ポイント・ソフトウェア・テクノロジーズ
  10. 「PC操作が不能になる手口」が増加中 IPAが推奨される対処法を紹介
ページトップに戻る