「セキュリティ対策のほとんどがリスクマネジメントの文脈に沿っていない」。セキュリティ関連大手、米RSA(現在は米EMCの事業部門)のアート・コビエロ プレジデントは問題を提起する。「トップがリスクをとり、それを受けて技術者がセキュリティを守るべき。セキュリティ製品を入れただけではリスクをマネジメントしたことにはならない」。(聞き手は谷島 宣之=日経コンピュータ編集長、写真は菅野 勝男)
情報の漏洩を恐れる余り、USBメモリーの利用やパソコンの持ち出し持ち込みを全面禁止にしている日本企業が見受けられる。どう思うか。
ある状況においてUSBメモリーを禁止することはあるでしょうし、また別の業務において携帯情報端末を認められないこともあるでしょう。しかし、全社のルールとして常に禁ずるとなると、それはリスクマネジメントの文脈に沿っていない、間違ったセキュリティ対策です。
セキュリティ対策の実行者は「できません」「禁止です」と言ってはなりません。まず「イエス」と言ってから、「こうやればできます。ただし限界はここまでです」と言うべきです。
リスクマネジメントの一環として、「禁止です」というセキュリティ対策がとられているのだが。
正しいアプローチを考えてみましょう。企業が目指すべきは、ガバナンスを確立し、リスクをマネジメントすることです。そのために、情報という企業資産に着目しなければなりません。情報と言ったとき、企業が蓄積している情報にとどまらず、企業活動に伴うトランザクションまで含めています。
企業のポリシーに従って、これらの情報が誤ったものになったり、漏洩する危険を減らしていく必要があります。その具体策として、従業員、業務プロセス、そしてIT(情報技術)から構成される広義のシステムを整えなければなりません。
後ろ向きの対策は効果なし
こうしたアプローチをとらず、内部統制に関する法律をとにかく守ろう、あるいは、セキュリティ対策ソフトが色々あるから見つくろって入れておこう、という取り組みをする企業がありますが、これは後ろ向きのセキュリティ対策であって、効果は出ません。
顧客にはこう申し上げています。「あなたの抱えているリスクがそれほど高くないなら我々の製品を買う必要はありません。逆に、我々の技術であなたのリスクをあなたがマネージできるレベルまで下げられないなら、やはりお買いになることはありません」。
今日のセキュリティの問題は、セキュリティ対策が良きガバナンスとリスクマネジメントのためではなくて、法規制を順守するためだけのものになっていることです。多数のセキュリティ製品があるにもかかわらず、経営のソリューションになっていないことです。つまり、個別の課題ごとに対策が講じられているだけで、リスクマネジメントの文脈に沿っていないのです。
