コンピュータウイルス、情報漏洩、システム障害、地震などの自然災害――。システム部門は様々なリスクを想定し、事業を安全に継続できる体制を整備する必要がある。今回はセキュリティ対策とBCP(事業継続計画)に焦点を当て、ユーザー企業が2012年度に採るべきIT戦略を探ろう。
事業を支えるシステムを、安全に安定的に動かす―。これはシステム部門の重要なミッションの一つだ。経営とITの密着度が増すと、小さなシステムトラブルであっても、事業に悪影響を及ぼすようになる。そのため、IT戦略におけるリスク対策の重要性は増し続けている。
ユーザー企業はIT戦略のなかで、どのようにリスク対策を位置づけているのか。日本情報システム・ユーザー協会が実施した「企業IT動向調査2012」のなかから、今回はセキュリティ対策とBCP(事業継続計画)に対する取り組みについて紹介しよう。
遅れるソーシャルメディア対策
セキュリティ対策に、100点満点はない。どんなに対策を施しても、新たなリスクは次々と出現するからだ。ユーザー企業のシステム部門は、どういった点に不安を抱えているのだろうか。16種類のセキュリティ対策それぞれについて、不安があるかどうかを聞いてみた。「あまり対策が進んでおらずかなり不安」の割合が高い上位五つの結果を図1に示す。
不安を感じている割合がダントツで高いのは、「ソーシャルメディアポリシーの作成」だ。回答企業の3社に2社(64.5%)が、「あまり対策が進んでおらずかなり不安」と回答した。2番目の「データ暗号化などの保護策」(かなり不安とする割合は32.8%)や、3番目の「情報資産のレベル分けによる適切な管理」(同32.5%)に比べ、不安の大きさはほぼ2倍だ。
ここでいうソーシャルメディアポリシーとは、TwitterやFacebookといったソーシャルメディアを従業員個人が利用する際の、会社としてのガイドラインやルールだ。例えば、「事業に関する情報は書き込まない」「プロフィールに社名を記す場合は、発言は個人のものであって会社とは関係ないことを明記する」「ルールに違反した場合は社内規定○条を適用し処罰の対象とする」といった内容だ。
ソーシャルメディアに関連するリスク対策は、ウイルス対策やデータの持ち出し対策といった従来型のセキュリティ対策と違って、「こうすれば大丈夫」というモデルケースが存在していない。まさに手探り状態だ。
とはいえ、ソーシャルメディアの利用を全面的に禁止することは現実的ではないし、野放しにすることもできない。リスクを小さくするためにも、今後、ユーザー企業が情報を共有しながら、対策方法を確立していく必要があるといえる。
