• ブログ

セキュリティは完璧です

まれにですが、うちのセキュリティは完璧ですという方がいます。お会いする方の9割がた、セキュリティはどこまでやっても
完璧はないといわれる方で、完璧はない中で、
どこまで高められるかを考えるわけですが、
そんな中、完璧ですという方はどういう思考なのでしょうか。

どうも、自分の責任の範囲内では完璧です、
という意味のようです。
世の多くでは、情報システム部門がセキュリティ担当を兼務する
ケースが多いですが、情報システム部門としての限定した上での
セキュリティは完璧ですといいたいのだろうと推測しています。

情報システム部門の役割としてのセキュリティであっても、
そう簡単に完璧にできるわけではありません。
しかし、守るべき情報を特定し、何重にもガードし、
多額の投資もして、教育までしっかりした、外部の監査も受けて、
満点の結果をもらったというプロセスを踏むと、やりきった感、
認めてもらった感があり、完璧ですといいたくなるのでしょう。

一方、情報システム部門が完璧ですといった会社の経営陣に聞くと、
うちのセキュリティは心配でたまらないとおっしゃる。

曰く、

・新型のウイルスにやられて、データを盗まれないだろうか

・ツィッターでバイトが入らぬことつぶやかないだろうか

・ネットの掲示板やフェイスブック、口コミサイトで、
 悪評が蔓延したりしないのか

・情報システム部長が裏切って情報もちだしたりはまさかないだろうが、
 その部下や派遣社員がデータ持ち出したりするのではないか

情報システム部門からしてみれば、
一つ目は情報システム部門の範囲内だが、ちゃんとやってます、
未知のウイルスまでは責任もてませんということでしょう。

二つ目、三つ目は、私たちの責任範囲でございません、という話。

四つ目などは、自分たちが疑われているの?
そんなこといわれても・・・・

これが経営者視点のセキュリティと
情報システム部門が考えるセキュリティの違いです。

未知のウイルスだろうが、感染した、データが漏えいした
ということについて会社として責任をとらなければなりませんし、
アンチウイルスで防げないのなら、被害を最小にする対処準備をすることや、
個人漏えい保険にはいっておくなどを考えるのです。
保険は総務だよといわれても、経営者にとってはだれがやろうと
結果の責任をとらないといけないのです。

風評被害などは、厳密にはセキュリティの話ではないかもしれません。
しかし、ITやインターネットを活用する際、
現在の社会でビジネスする上でのリスクなわけです。
セキュリティの話かどうかよりも、会社のリスクかどうかが大事であり、
それを担当する部署がなくても、誰かが対処しなくてはならず、
経営者は、対処しきれていないリスクにこそ、気が向くのです。

内部者の漏えいは、企業のセキュリティにとってもっとも防ぎにくいものです。
これは、規模の大小を問わず、いやむしろ中小企業なセキュリティの問題です。
中小企業では、営業情報の漏えいが社員の退職、引き抜きとセットで発生し、
会社が傾く、倒産するケースもあるのです。
よって、経営者から直接、携帯電話にかかってくるセキュリティの相談は、
たいがいこの事案です。

セキュリティに完璧はありません。
単に言葉上だけの話でなく、経営者視点で見れば、
情報守ること、ITリスクなくすことは、100%無理です。

事業活動とバランスしながら、リスクをどう軽減していくかが、
セキュリティ対策なのです。

—–