Y2K問題が一段落し,ホッとしたつかの間,インターネットに絡む犯罪が頻発している。ホームページにクラッカー(悪意を持つハッカー)が相次いで侵入し,その内容を改ざんしたり情報を破壊する事件が相次いだ。さらに新種のコンピュータ・ウイルスが登場したり,大量の不正アクセスを発生させることでオンライン・サービスを不能にしてしまう「DDoS:Distributed Denial Of Service Attack)」などの犯罪や事件が起こり,インターネットの世界を揺るがした。

 インターネット技術を中核としたネット・ビジネスはオープンな世界であるがゆえに,サービスの提供者側とそれを受け取る側,企業間(BtoB)の場合は取引相手同士で,互いの信頼性が確保されることが大前提となる。

 「21世紀に企業が生き残る条件はネット・ビジネスに成功することだ」など新聞報道はますます加熱しており,情報化投資でもネット・ビジネスをどう扱うかが企業にとって最大の課題となっている。このことについては,全くその通りであり,否定するものではない。しかし,その前提となるセキュリティの確保について,きちんとした投資が行われているかとなると,お寒い限りである。ネット・ビジネスとセキュリティは車の両輪だが,現状はバランスが欠けている。

 「事件が起きてから対処する」というのが,これまでの日本人の一般的な意識だった。地震対策などその典型である。情報セキュリティについても同様。本来なら情報化投資の大項目に定めて,一定額以上を常に投資しておくべきものだが,実施している企業は金融など特別な業界を除くとごくわずか。

 ことはネット・ビジネスに限らない。急速に仕事のディジタル化が進むなか,企業は膨大な情報資産をデータベースなどのかたちで貯め込んでいる。セキュリティが弱い企業は,「大きなリスクを抱え込んでいる企業」と見なされることになる。取引相手から敬遠されることになるだろうし,取引の輪から外されかねない。

 それでは,どうすべきか。筆者は4箇条を掲げたい。

 第1は,情報セキュリティの責任者CSO(チーフ・セキュリティ・オフィサ:セキュリティ統括役員)を任命することである。CSOには,毎年の投資予算の確保と対策状況の報告を行わせる。いまのところCSOを置く企業は存在しないが,重要性からして常務以上の上級役員とし,CIO(チーフ・インフォメーション・オフィサ:情報戦略統括役員)と同列にすべきだろう。

 CSOはCIOが兼任すべきという考えもある。しかし,それは見当違いだ。情報セキュリティを確保するには,ビジネス・ルールの構築や社員の意識改革,また事件が起きたときには捜査し,その解決を速やかに行わなければならない。これらすべてをCIOに委ねるのには無理がある。

 21世紀の経営には,仕事の完全なディジタル化が欠かせない。情報セキュリティは企業基盤そのものものであり,企業統治(コーポレート・ガバナンス)の問題ともいえる。CSOという上級役員を専任で設けることが不可欠だと認識すべきである。

 第2は,実際に事件や事故が起こったときの対策を予め綿密に立てることである。自社のメンバだけで対策が完璧に行えるなら問題はないが,現実には困難が伴う。例えばクラッカーの手口やコンピュータ・ウイルスはどんどん巧妙かつ高度になっており,対応は難しくなっているのが現状だ。ネット・ビジネスはノンストップが基本である。復旧が遅れることは,企業の存立を危うくしかねない。

 手口の特定,システムの復旧,ガード・システムの開発や導入など,極めて高度で専門性の高いスキルが要求される。外部のコンピュータ・セキュリティ会社に依頼して支援を仰ぐことが欠かせない。しかし,事故が起きてから急に頼むような事態は避けるべきだ。緊急時の対応に関して,予め契約を結んでおくことが重要である。

 第3は,内部関係者に対する対策を万全にすることである。ネット・ビジネスに関して,内部への対策は非常に重要である。ディジタル化された情報を外部に流出させるなどの内部犯罪は,事件の発生を発見しにくく,被害が大きくなるという特徴がある。まして日本企業は社員を性善説でとらえているので,ガードが甘い。高度なIT技術を有する人,当事者以外に機密情報にアクセスできる人(システム管理者など),部門のサーバ管理者,仕事に参加する外部の人など,それぞれに対策が必要となる。損害を与えた場合の賠償などを定めた書類にサインしてもらうことが,今後は不可欠だろう。

 第4は,ホスト・システムの安定稼働である。どのような状況が起こってもホスト・システムを停止することなく,応答性能よく稼働させなければならない。犯罪対策だけでなく,インターネット・ビジネス特有の過負荷対策,大地震や災害などへの対策が求められる。こうした対応は,一般企業には荷が重くなりつつある。中堅・中小企業にとっては,コストがかかりすぎてビジネスそのものが成立しなくなる恐れさえある。

 インターネット時代は,中堅・中小企業が大企業と対等な立場で取引できるチャンスを生み出している。しかしセキュリティ対策の問題がネックとなり,そのチャンスを失うことになりかねない。たとえば,ホスト・システムをアウトソーシングするなどの措置を考えるべきだろう。

 ASP(アプリケーション・サービス・プロバイダ)などの積極活用も必要となろう。ASPなら,利用者は初期の導入コストを負担せずに使った分だけ(アプリケーション・サービスを受けた分だけ)支払えばよい。もちろん,アウトソーシング先の情報セキュリティをチェックすることはいうまでもない。万が一の場合の補償など,契約に必要事項がすべて盛り込まれているかどうか,法律の専門家にチェックしてもらうことも忘れてはならない。