「ユーザー企業の相談に乗り,セキュリティ・レベルを調査した上で,必要な対策を実情に合わせて提案する」。 企業のセキュリティ担当者から見て,ITベンダーはこのように“頼れる存在”であってほしい。
ところが,一部のITベンダーやSEのセキュリティ意識はあきれるほど低い。いくつか例を挙げれば,「ISMS(情報セキュリティマネジメントシステム)などのセキュリティ認証を営業ツールとしてしか見ていない」「顧客のシステムの脆弱ぜいじゃく性に気づかず放置」「セキュリティ・ポリシーを守らずやりたい放題」という状態だ。
これらは,胡散うさん臭いITベンダーの話ではなく,大手ITベンダーなどで働くSEの内部証言である。この現実を知ったら,ユーザー企業のセキュリティ担当者はいったい誰を信じればよいのか困惑してしまうかもしれない。
だが,世の中でセキュリティの意識が高まってきたのは最近の話。大手ITベンダーであっても,セキュリティ分野に関して十分に手が回っていないのが実情である。
今回は,こうしたITベンダーの内情を報告したい。セキュリティに限った話ではないのだが,ユーザー企業のセキュリティ担当者には,ITベンダーを見極める目を持つことが一層強く求められる。
「監査が来る! 全員席を外せ」
大手ITベンダーの子会社で入社8年目となる鬼丸氏(仮名)は,ファイアウォールやウイルス対策ソフトなど,セキュリティ対策製品の導入を支援するSEである。セキュリティ担当者を専任で置く余裕がない中小企業を担当していることもあり,自分では顧客の立場に立ってセキュリティ対策を提案しているつもりだ。
ところが,自社の状況を振り返って見ると,セキュリティへの意識が低いとしか思えない。最初にそう鬼丸氏が感じたのは,同社が経営陣主導で約1年前に取得したISMS認証に対して,外部監査を受ける際の出来事が原因だった。
外部監査を受ける日の1週間前,鬼丸氏は朝8時30分に出社した。いつものようにメールをチェックしていると,自社のセキュリティ担当部門から1通のメールが届いていることに気づいた。
メールの内容を読んで,鬼丸氏はあっけに取られた。「来週木曜日は,ISMS認証の状況について外部監査を受けることになっています。事前に当部門の研修を受け,外部監査担当者の質問に適切に答えられる者以外は,席にいないようにして下さい」。
その日の昼ごろ,喫煙ルームで直属の課長と雑談をしていたときに,例のメールの話題になった。「今朝のメールを見ましたか? こんなことをしていたら,顧客に『セキュリティ対策をしましょう』などと,おこがましくて言えませんよね」と話かけたところ,課長の返答はこうだった。「我々が在席していても,監査員の質問に誰も答えられないだろ。監査さえパスすればいいんだよ。どうせISMS認証なんて,イメージアップのための“営業ツール”でしかないのだから」。
このケースには,二つの問題が横たわっている。
一つは,ISMSがこのITベンダーではうまく機能していない点である。ISMSやプライバシーマークといった認証制度の本来の目的は,自社の情報管理などの体制が正しく機能しているかどうかを確認し,不備を正すことにある。ところがこのITベンダーでは,認証を取得することだけが目的になっている。
このようなITベンダーに相談を持ちかけたとして,果たして実効性のあるセキュリティ対策を提案してもらえるのだろうか。鬼丸氏のように意識の高いSEもいるだろうが,大きな疑問が残る。
もう一つは社員教育が不十分である点だ。このケースで,もし経営者が本来の目的通り,自身の襟を正すためにISMS認証を取得したのならば,その重要性を社員が正しく認識していないことになる。言い尽くされたことだが,セキュリティ・レベルを一定に保つには,体制作りだけでなく,継続的な社員教育が不可欠になることを肝に銘じておくべきだろう。
