企業がセキュリティ対策を行う場合、多くの場合セキュリティ対策の推進者がいて、様々なリスクや現状システムとの組み合わせ、企業文化、そして何より予算とのバランスで今やるべきことを決めていると思います。
一般的に考えると、いわゆるハッカー(攻撃者)やウイルス、故意や過失による情報漏えいをいかに防ぐか、という観点での対策を講じると思われますが、それだけでは組織は守れません。いくら努力しても事故は起こるものだからです。1000人を超えるような組織であれば事故なんて珍しくありません。かばんや携帯電話の紛失、パソコンの社内からの盗難などはゼロにはならないからです。
また、最近のような経済状況では、経営者にとってはやむを得ない一面があるかもしれませんが、コストを抑制するためにワークシェアリングや残業規制、リストラ、希望退職、ボーナスカット、給与カットなどが行われます。そのような会社では、会社に対する社員の忠誠心が失われてしまい、IT機器の盗難や社内データを持ち出しての転職などが起こることは珍しくありません。
このような容易には防げそうもない事故に対しては「何とかして防ぐ」努力よりも「起こるのは仕方がないが対策の努力はしていたことを示せればいい」と考えるのも一つの方法でしょう。前述のような事故を最小限の被害に食い止める技術的対策なども考えられますが、その導入コストを捻出できない場合には、より安価で「努力していたことが示せる」というソリューションも選択肢になってもいいでしょう。少なくとも、何もしないよりはマシです。
ただし、「努力していた」は他者に「具体的に示せる」ことが必要で、「気をつけるように日頃から通達していた」という口だけの対策では、被害者や取引先に認められるのは難しいことは言うまでもありません。少なくとも「ログを取っている」「入退室記録やカメラの画像で当日の出入りは確認できる」「データを暗号化していた」などの具体的な施策がないと納得してもらえないでしょう。
しかし、後者の具体的な施策についても、顧客企業とセキュリティベンダーが考える内容には大きな隔たりがあります。どのような隔たりなのか、ある事例を紹介しましょう。
