日本年金機構の大規模な情報漏洩をはじめ、2015年もセキュリティの事故が相次いだ。企業の経営層はどう構えればいいのか。監査法人として経営層と接する機会の多いトーマツグループで、ITリスクに関するコンサルティングサービスを手掛けるデロイト トーマツ リスクサービスの丸山社長に聞いた。
2015年は日本年金機構の大規模な情報漏洩など、社会を揺るがす大きな事件があった。経営層の意識は変わったか。
経営層の目線は確実に変わってきた。以前は情報漏洩事件があっても「うちは関係ない。狙われるような情報はない」という認識だったが、最近は「どんな会社でも起こり得る。うちは大丈夫か。対策はどうなっている?」と経営層が不安視するようになった。情報漏洩は経営にとって無視できない大きなインパクトがあると認識され始めている。
意識が変わったことで、具体的な取り組みは出てきたか。
体制を構築済みの大企業はより力を入れて、対策を完遂するようになってきた。業種で言えば、製造業に動きがある。グローバル化を進める過程で、国ごとに別々だったネットワークやITシステムがつながり、どこから侵入されたか、分かりにくくなる。グローバルなセキュリティ対策が必須だという意識が高まってきた。
中堅・中小企業の意識や対策はどうか。
我々は中堅・中小企業とつきあいがそれほど多いわけではないが、ツールを導入してセキュリティ対策を始めてみようという動きが見られる。ただ全体としては、セキュリティの予算を確保できないのが現状だ。
中堅・中小企業はこれから自前のIT資産を持たずクラウドに移行していくだろう。とはいえ、クラウドに置きにくいシステムが残ることもある。このシステムとクラウドをどう連携させて、セキュリティを担保するかが課題になる。これは中小企業に限った話ではない。
