河野 省二/ディアイティ セキュリティガバナンスビジネス部,CISSP

 前回の記事では,情報セキュリティ対策は,誰のために実施するのかについて書きました。今回は,企業の情報セキュリティ対策は何のために実施するのか,すなわち,その目的について考えてみたいと思います。

 なお,前回の記事の終わりに,今回は目的についてだけではなく,「どこまでやればよいのか」についてもお話すると書きましたが,後者については,次回以降改めて解説したいと思います。

ウイルスに感染するとどうなる?

 まず,「情報セキュリティ対策」と言って最初に思いつくのは何でしょうか。「ウイルス対策」や「ファイアウオールの導入」などを思い浮かべる方は多いでしょう。ここではウイルス対策を例に取ります。では,何のためにウイルス対策をするのでしょうか。

 ウイルス対策の目的は,当然,ウイルスに感染しないようにすることです。それでは,ウイルスに感染すると何が困るのでしょうか。

 「PCが正常に動作しなくなる」というのが答えの一つとして考えられます。「社内や取引先に感染させてしまう」という回答もあるでしょう。ただ,後者がなぜ困るかというと,社内や取引先のPCが正常に動作しなくなるためですので,前者に含めることができます。

 では,PCが正常に動作しなくなるとなぜ困るのでしょうか?私が講師を務めるセキュリティ・マネジメントの講座でこの問題を出すと,多くの方が「業務ができなくなる」と回答します。では,なぜ業務ができなくなると困るのかと問うと,「売り上げが上がらない。ビジネスが成り立たない」とほとんどの方が答えます。

 最後に,なぜ売り上げが上がらないと困るのかと聞くと,「会社が倒産してしまう」と,すべての受講者が口をそろえます。そうです,情報セキュリティ対策をまじめにやらないと,会社が倒産してしまう可能性があるのです。

すべては事業継続のために

 以上の流れを図1にまとめました。

図1 情報セキュリティの目的を探る
図1 情報セキュリティの目的を探る

 この図では,「給料がもらえない」という項目を追加しました。図にも書いたように,経営者の目から見れば,ビジネスを止めないこと,すなわち,事業継続が重要ですが,従業員の中には事業継続を深刻に受け止めない人もいるでしょう。そこで,より身近に感じるように,「給料がもらえない」を付け加えました。「会社が倒産すれば給料がもらえない,それもこれもウイルス対策を怠ったせいだ」と考えてもらえるようにしました。

 この点を理解してもらえば,「会社がつぶれないように,一緒に情報セキュリティ対策に真剣に取り組もう」と言って,モチベーションを維持させることができます。

 目先が利く優秀な従業員の中には,「情報セキュリティにまじめに取り組んでいない企業は倒産のリスクが高い」と考えて,協力する前に,早々に辞めてしまうかもしれません。少々極端な例ですが,情報セキュリティに取り組んでいない企業では,このようにして人的リソースを失う可能性もあるでしょう。

 今回はウイルス対策を例にしましたが,ほかの対策でも同様のことが言えることは分かっていただけるでしょう。企業にとって,情報セキュリティは事業継続のため,もっと端的に言えば,倒産させないために実施するのです。従業員としては,給料をもらい続けるために,実施する必要があるのです。このように考えれば,情報セキュリティがいかに重要なのかが分かっていただけるでしょう。

 「セキュリティ・マネジメントの勘所」は,ディアイティのセキュリティガバナンスビジネス部部長の河野 省二氏による技術コラムです。河野氏は,BS7799スペシャリストやCISSP,公認情報セキュリティ主任監査人などの資格を持つ,情報セキュリティの専門家です。日本セキュリティ監査協会(JASA)スキル部会の副部会長であり,同協会の監査人資格制度 研修・トレーニング講師や高度IT人材アカデミー 情報セキュリティ担当講師,(ISC)2 CISSPオフィシャルセミナー講師などを務めています。経済産業省の情報セキュリティガバナンス委員会にも参加されています。本コラムでは,情報セキュリティ対策やマネジメントに関する話題について,河野氏に分かりやすく解説していただきます。(編集部より)