企業で発生する可能性のある情報セキュリティ事故には様々ものがあります。営業員のカバンやノートPCの紛失、外部サーバーへのハッカーの侵入、巨大掲示板への自社関連情報の書き込み、ファイル交換ソフト(P2Pソフト)経由の情報漏洩(ろうえい)、社内の産業スパイなど多岐に渡る上に、どれもすぐに対応する必要があります。
このような情報セキュリティ事故が発生した場合、大企業ではプロフェッショナルな部門が直接対応したり、普段から付き合いのある信頼できる業者へ連絡したりしながら対応しています。それでも十分な対応ができているかどうかと言われると疑問です。なぜなら、情報セキュリティの専門家、特に、事後対応の専門家は非常に少ないからです。
私も過去に多くの情報漏洩後の現場に立ち会いましたが、お客様の考えや立場、状況によって臨機応変に対応を変えなければいけません。技術的な問題と記者会見への対応だけでなく、巨大掲示板などを通じた漏洩情報の拡散についても把握し、対応しなければいけません。今では日常的とも言えるWebサイトへのSQLインジェクションなどの攻撃による情報漏洩では、こららに加えて、早期にサイトを復旧することも必要になります。
実際にはどうでしょうか。P2Pソフトからの情報漏洩を例にすると、漏洩したデータは消えないので諦めてくださいという専門家もいれば、情報は止められますという専門家もいて、対応はバラバラです。また、大企業の場合には記者発表など対外的な対応が伴いますので、発表の席での発言も専門家に頼んで指導してもらうケースが多いのですが、必ずしも適切な対応ができているとは言えません。
日常的な一般の犯罪に比べれば情報セキュリティの事故は非常に少ないので、経験を積む機会が少ないことから対応力に差が出てしまうことは当然のことです。的確に対応できる人材は非常に貴重な存在で、大手SI企業だからたくさんいるというものでもなく、大手企業でも本当のところを見ると1人や2人くらいしか存在しません。当然、このような専門的で高度な技術と豊富な経験を持った専門家を雇用し、待機させ、日常的な訓練や教育を施すと、コストはとても大きくなります。
