マイクロソフト,インターネットイニシアティブ(IIJ),NECビッグローブなど15社は2007年12月20日,情報セキュリティ対策の重要性を普及・啓蒙する活動「みんなで『情報セキュリティ』強化宣言!2008」を開始した。2007年にも,同様の取り組みを一般ユーザーを対象に展開していたが,2008年は企業の情報システム担当者まで対象を広げた。その意図はどこにあるのか。事務局をつとめるマイクロソフト 技術統括室の瀬川正博シニアマーケティングエグゼクティブとセキュリティレスポンスチームの小野寺匠マネージャに聞いた。

今回の「みんなで『情報セキュリティ』強化宣言!2008」で,ITプロフェッショナルをターゲットにしたが,その狙いは。

マイクロソフト小野寺匠セキュリティレスポンスチームマネージャ(左)と技術統括室の瀬川正博シニアマーケティングエグゼクティブ
マイクロソフト小野寺匠セキュリティレスポンスチームマネージャ(左)と技術統括室の瀬川正博シニアマーケティングエグゼクティブ
[画像のクリックで拡大表示]
瀬川 ITの信頼性を高める施策は,これまでいろいろ実施してきた。その中で,「セキュリティを勉強する時間がない」「準備をする余裕がなく社内啓発が難しい」「手を打ちたくても経営層を説得できない」という声を聞く機会が多かった。専任のシステム担当者であってもトレーニングを受けておらず,社内システムのどこにセキュリティ上の弱点があるかを見極められない。

 中堅・中小規模の企業ほど,こういった傾向がある。日本企業の98%が中堅・中小の企業と言われている。日本の情報セキュリティを高めるためには,そういった中堅・中小企業のセキュリティを高めなければならないはずだが,それが難しい状況に陥っている。

小野寺 この「みんなで『情報セキュリティ』強化宣言!2008」の大きな狙いの1つは,そういった状況にあるITプロフェッショナルが,もう1段ステップアップしてセキュリティ対策に取り組むためのきっかけを作ること。セキュリティを強化すべきだが大企業ほどの余裕はない,というITプロフェッショナルのために,社会的な雰囲気作りや,学習や教育のためのツールなどを提供したいと考えている。

セキュリティ対策を実施しやすいムードを作る

しかしこれまでも,マイクロソフトは様々な取り組みを実施し,ユーザーのセキュリティ対策を支援しようとしてきたはず。「みんなで『情報セキュリティ』強化宣言!2008」は何が異なるのか。

瀬川 確かに各種のツールはもちろん,情報も提供してきたが,1社単独での取り組みには限界がある。そこで,競合同士であるセキュリティ関連製品ベンダーやISPはもちろん,大成建設,東京海上日動火災保険,日本航空インターナショナルといったユーザー企業も参画し,業界全体でセキュリティ対策に取り組む機運を高めることが重要だと考えたわけだ。

小野寺 もちろん,製品や技術を導入するならある程度コストをかけることにはなる。しかしそれ以前に,ユーザーのモラルや意識を向上させる必要がある。

 情報セキュリティをしっかりやろう,と言いやすい雰囲気作りが大事。経営層に「社会ではこういう活動が始まっている。乗り遅れないように当社もしっかりやりましょう」と主張したり,「このところセキュリティの大事故は起きていないようだし,今のままで大丈夫だろう」という上司に対して「部長,違うんです」と言えたりする材料を提供したい。

システム担当者がセキュリティ対策を強化しようとしても,うまくいかないケースがあるということか。

小野寺 特にセキュリティ担当者は,しっかり業務を実施していればいるほど,トラブルが起こらなくなり,会社に認められにくい。ITプロフェッショナルがどれだけ企業を下支えしているかが,分かりにくい状況にある。

写真1●「みんなで『情報セキュリティ』強化宣言!2008」のWebサイト
写真1●「みんなで『情報セキュリティ』強化宣言!2008」のWebサイト
[画像のクリックで拡大表示]

瀬川 企業のシステム担当者からは,「セキュリティを強化しても,その取り組みをアピールする場がない」との声を聞く。

 「みんなで『情報セキュリティ』強化宣言!2008」では,企業が自社のセキュリティ対策をアピールする仕組みを用意する。Webサイト上に,参加企業のセキュリティ向上の取り組み内容を掲載し,そこへのリンクするためのWebパーツを提供する(写真1)。企業としても,対策に取り組んでいることをアピールできる。

ITプロフェッショナルを適切に評価する

セキュリティに関してベンダーとユーザーが共同で実施する,このような取り組みは日本以外でもあるのか。

瀬川 世界でも珍しい取り組みではないだろうか。企業だけでなく,個人の参加者も募る。キャラクターには「なめねこ」を起用した。ちょうど,ITプロフェッショナルの世代には馴染みがあると考えた。

小野寺 この「みんなで『情報セキュリティ』強化宣言!」は,来年も再来年も継続していくつもりだ。少しずつでも,企業のITプロフェッショナルが社内外に認められる形で活躍し,セキュリティ対策の強化につながれば,と考えている。

マイクロソフトとしては,「みんなで『情報セキュリティ』強化宣言!2008」の中でどのような取り組みを始めるのか。

瀬川 2月2日の情報セキュリティの日があるため,2月を強化月間としていろいろと仕掛けていきたいと考えている。最も大きな取り組みは,「IT Security Award 2008」だ。Webサイト上で情報セキュリティに関するクイズを出題し,成績が良かった参加者510人に商品をプレゼントする。2007年12月から08年2月まで実施し,優秀者は08年2月に開催する授賞式で表彰する。企業の情報システム部門などのグループでも参加可能だ。

小野寺 なかなか感謝されないITプロフェッショナルを,ちゃんと評価したいという思いがあった。クイズに参加すると,セキュリティ教育に利用できるコンテンツをダウンロードできる。社内教育などに役立ててほしいと考えた。

写真2●マイクロソフトが配布しているセキュリティ教育用の冊子
写真2●マイクロソフトが配布しているセキュリティ教育用の冊子
[画像のクリックで拡大表示]

 また,情報セキュリティの啓発のための冊子などを作成し,イベントなどで配布する。情報システム専任の担当者でなくても理解できるよう,また社内のユーザーが自宅に帰って家族にも見せられるてようなレベルの分かりやすい冊子を作った(写真2)。システム担当者が,社内教育用のコンテンツを作らなくても,そのまま利用できる。

マイクロソフトがこれだけセキュリティに関する取り組みを強化してるのはなぜなのか。

小野寺 日本企業の情報セキュリティ対策はこのままで良いのかという,強い危機感を感じているからだ。大企業はまだしも,中堅・中小企業は十分なセキュリティ対策を実施できていない。真剣に考えなければ,いずれは,海外の企業がセキュリティ・レベルの低い日本企業をビジネスの相手にしなくなってしまうのではないかと危惧している。

 日本企業には優秀な人材がいるのだから,それをうまく生かし,活用することが重要なのではないだろうか。