これまで、標的型攻撃のリスクとその対策について述べてきたが、どのような対策を立てたとしても、それを実行して成果をもたらすのは「人」であり「組織」である。とりわけ、サイバー攻撃を巡る状況が激しく変化している今日においては、最新のセキュリティ技術の導入やポリシー/ルールの整備だけでは十分な対応は困難であり、対策を司る組織や人のエンパワメントがやはり不可欠となる。

 これはすなわち、IT部門が従来型の「管理部門」から脱し、「捜査機関」への転換を図るということにほかならない。最終回となる今回は、そのための道筋と方策について考えてみたい。

組織の足場を固める

 日々変化する脅威に対応するために、どうしても必要となるのが全社レベルで情報セキュリティ対策の意思決定を下せるリーダーの存在である。国内企業においては、IT部門に十分な権限が与えられていない企業が多いと言われるが、これは情報セキュリティについても当てはまる。

 ITRが昨年、JIPDEC(日本情報経済社会推進協会)と共同で実施した調査では、国内企業のセキュリティ組織の在り方についても問うており、「全社的な情報セキュリティ担当責任者(CISO)を任命している」とした企業は全体で4割を下回った。大企業(従業員数1000人以上)でこそ割合が50%を超えたが、中堅企業(同300~999人)、中小企業(同299人以下)では、大きくその割合が下がっている(図1)。

 また、同調査では、リーダーどころか情報セキュリティの専任スタッフさえ不明確な企業が多いという結果も示され、「情報セキュリティ担当スタッフの配備/明確化」を実施している企業は全体で半数を下回る48.4%であった。

図1●全社的な情報セキュリティ責任者(CISO)の選任状況<br>出典:ITR/JIPDEC「企業IT利活用動向調査2011」
図1●全社的な情報セキュリティ責任者(CISO)の選任状況
出典:ITR/JIPDEC「企業IT利活用動向調査2011」
[画像のクリックで拡大表示]

 情報セキュリティ対策の責任者および専任スタッフを配備することの必要性は、複数のシステム、複数の部門・組織を横断した対策が大前提となる標的型攻撃対策においては、特に重要な要素となる。第3回で多層防御の必要性について述べたが、それを実践に移す際にも、個々の施策に対する優先順位付けは避けて通ることができない。情報セキュリティに専任でかかわる人や組織、さらには全社的に対策をリードする責任者を任命することは、セキュリティ対策の方向性を描くうえで絶対条件となるだろう。