「世の中で起きた事故に対策することが遠回りのようで実は正しい道だと思う」と、ITmedia エグゼクティブフォーラムで講演したカーネギーメロン大学大学院の武田教授。また、投資対効果にこだわりすぎると、結果的にリスクを高めることにもなりそうだ。
「製造業などでは、他社の事故事例を基に、ミスや事故が起こらないように対策を行っている。情報セキュリティでも同様の考え方が有効ではないか」――カーネギーメロン大学大学院情報セキュリティ研究科の武田圭史教授は、過去の事故例を基に情報セキュリティを考えるのが第一になると考えている。ITmedia エグゼクティブフォーラムで話した。
「格好良くないかもしれないけど、世の中で起きた事故に対策することが遠回りのようで実は正しい道だと思う」
そのキーワードは“見える化”だという。同氏は、「資産」「脅威」「脆弱性」「管理」「投資対効果」の5つの視点から情報セキュリティにおける“見える化”を整理。これらを基にして自社で必要とされるセキュリティを定義できる、とアドバイスする。
例えば、資産の見える化は、情報資産を棚卸しして、守るべきものを明確にすることを意味している。セキュリティを「秘匿性」「完全性」「可用性」という観点で管理の方法を見極める。ISMSの導入にも必要とされているものだ。
「表に並べて1つ1つを見極めると、保護ポイントを明確にすることに役立つ」
ファイル共有ソフトで情報漏えいをしてしまうようなケースは、必要なデータは誰でも手元に置いておきたいと考え、重要なデータをPCにコピーするのが原因となる。このようなものも1つ1つ見極めれば、重要なデータを必要な人のところに安全に届ける仕組みがないということが分かる。
このような事故が自社で発生していなくても、他の企業の失敗例から想定するのも効果的だ。工場を持つメーカーの製造工程では、当たり前のようにやられている取り組みだが、このようにリスクを見つけ認識することで、脅威は“見える化”される。
「発生している事故の98%くらいは既知のもの。まずはこれら脅威から1つ1つ対策していくのがよいだろう」(武田氏)
企業が情報セキュリティに取り組む上で最も重要かつ難しいのが、投資対効果をはっきりさせることだろう。これが“見える化”できれば、限られたセキュリティ予算の中で優先すべき対策を決めることができるが、それを算定するのは難しい。
リスクの期待損失額は、理論的には「事故の発生確率×損失」の式で計算できる。しかし、新たな脅威が登場することが多いのが情報セキュリティの世界では、保険の計算のように事故の統計情報から確かさの高い数値を引き出して、計算するということができないからだ。
「セキュリティROI (return on investment)と簡単に言うが、一言では言い切れない難しさがある」
また投資対効果を考えてばかりいると、「まったく対策を立てないという考え方も成り立ってしまう」ということも起こる。
「事故が起きないなら対策しない方が有利だし、事故が起きた場合でも、その対策費用と損失が同じなら対策していない方が有利になる。いずれも単発の事故には対策していない方がコスト的に有利だと言えてしまう」
とはいえ、セキュリティ対策を講じなければ、情報漏えいの発生を防ぐことはできないし、発生してしまった後の対応も後手に回る。損失は膨れ上がりかねない。特に、情報漏えい事件の場合は、漏れたこと自体よりも、その後の対応の方が報道や世論の反応のポイントとなっている。事故後の対応がおろそかでは、より大きなリスクへと転化させてしまう可能性もある。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授