米国企業を対象に情報セキュリティ関連のコンサルティングを実施している,有力コンサルタントが来日し,日経コンピュータ記者と会見した。米ベースライン・ソフトウェアを創業したチャールズ・クレソン・ウッド氏である。ウッド氏は,「情報セキュリティの管理は米国でも関心が高まってきた段階。まだまだ米国でも情報セキュリティの概念は定着していない」と指摘した。
ウッド氏は,「何よりも,社員教育を通して,情報セキュリティに対する意識を高めることが大切だ。セキュリティを違反した場合,ペナルティを与えるのも効果的」と話す。
セキュリティ・ポリシー(セキュリティに関する基本方針)の重要性が指摘されて久しいが,「米国ではポリシーを決める前に,セキュリティ技術として何を使うかを決めてしまう企業が多い。それは本末転倒だ」(ウッド氏)。
さらに,構築したセキュリティ・システムが機能しているかどうかの検証を継続的に行う必要がある。「情報セキュリティの管理は,財務やマーケティングと同じように通常の業務の一環として取り組むべきだ。企業のビジネス形態や企業システムは日々変化しており,常に見直す必要がある」(ウッド氏)。
ところが,「米国では継続的にセキュリティ・システムをチェックする企業は少ない」(ウッド氏)という。米国でも,日本でもセキュリティに関する基本的なことがしっかりできている企業はまだまだ少ないということだろう。
ウッド氏は,米IBMなどの企業や政府機関など約150件に対して,情報セキュリティ関連コンサルティングを手がけてきた。その実績を基に,セキュリティ・ポリシーの策定を支援するための方法論やマニュアルを開発している。日本では大塚商会を中心とした十数社が,ウッド氏が作成したセキュリティ管理マニュアルをもとに,セキュリティ・ポリシーの策定支援と評価サービスを提供している。(西村 崇=日経コンピュータ)
