サイバー攻撃が猛威を振るっている昨今では、対サイバー攻撃にアンテナを高く張っている経営層も多いだろう。しかし、セキュリティ対策は単純にハッキングやウイルスに注意していればよいというものではない。

 落とし穴になりがちなのが例えば資産管理だ。自社にどういった端末がどれだけあって守るべき対象は何か─という基礎的な部分が分からない状態では守れるものも守れない。今回は、「セキュリティ対策」と言われてもあまりピンとこないものかもしれないが、とても重要な考え方について解説する。

「資産管理がセキュリティ対策?それは君だけの見解では」

 最初に紹介する経営層とセキュリティ担当者の会話は、経営層が典型的なサイバーセキュリティ対策に気をとられるばかりに基礎をおざなりにしてしまっているケースだ。

経営層:先月の情報漏洩事故は痛恨の極みだった。もう2度と繰り返してはならない。今年はセキュリティ関連の予算を増やして、他社よりも高度なセキュリティ対策ソフトまで導入したというのに、何がまずかったのか。思い当たる節は何かあるかね。

セキュリティ担当者:はい、各種調査によれば、サイバーセキュリティ関連の被害は昨年よりも減っているようです。しかし気になる点があります。当社はいまだに資産管理が十分ではありません。従業員が使用しているアプリケーションの種類やバージョン、パソコンの数を正確に把握することができないからです。せっかく導入したセキュリティ対策ソフトも漏れなくインストールされているかどうかが分からない不安な状態です。

経営層:なるほど。しかし資産管理がセキュリティ対策の一つとは初耳だ。それは君だけの見解で、世間の常識とは違っていないかね。今日はもう時間がないから、日を改めて説明に来てほしい。

セキュリティ担当者:(悔しげに)分かりました。

 このケーススタディーでは、経営層が「資産管理」と「セキュリティ」は関係ないものという認識でいる。実際には現場のセキュリティ担当者レベルでも資産管理とセキュリティをひも付けられていないケースが見受けられる。

 セキュリティ対策を考えるうえでの基本は「何を何から守るのか?」である。ところが、「何から守るのか?」はよく議題に上るが、「何を守るのか?」はおざなりになってしまうケースが散見される(図1)。「何を守るのか?」を考えるためには、社内で抱えている情報資産を把握する必要がある。例えば、パソコンが何台あり、そのパソコンにインストールされているOSやアプリケーションの種類やバージョンは何かを把握していない状態では十分なセキュリティ対策は期待できない。

図1●ぞんざいになりがちな「何を守るのか?」
図1●ぞんざいになりがちな「何を守るのか?」
「何から守るのか?」はよく話題に上るが「何を守るのか?」はおざなりになってしまうケースが散見される。
[画像のクリックで拡大表示]
資産管理▲
ここでは、社内にあるパソコンやサーバー、プリンター、ネットワーク機器、ソフトウエアといった「IT資産」を管理することを指す。