企業における情報セキュリティの実態

「その場しのぎの穴埋めでは力不足」――経営に結実しない日本企業の 情報セキュリティ対策
IT　media エンタープライズ　　2008年05月03日 08時00分


4月24日に開催されたRSA Conference Japan 2008での講演内容の記事。
　
講演者は4月におきたコーヒーチェーン大手の従業員が出張でPCを社外に持ち出し、置き引きに遭うという事件を引用。

現在は様々な形で情報漏えいが発生するようになってきているため、従来のような製品やベンダーまかせの情報セキュリティ対策では（筆者によると「その場しのぎの対応」と表現）では事足りなくなっていると指摘している。

記事によると指摘内容は以下のとおり。

　○情報セキュリティ対策と経営は直結、対策をしているか否かは企業
　　　価値やイメージを決める

　○全世界的には情報セキュリティを経営的なレベルで認識し始めている

　　こう指摘できる理由として・・・
　　　・　（ISC）2Japanによる調査結果（世界の情報セキュリティ業務従事者
　　　　7548名に実施した調査）では、情報セキュリティが経営や日常の業務
　　　　に影響するという回答が全体の約7割に上った。

　　　・この調査において、情報セキュリティは「経営層に直結している」という
　　　　回答が2007年には23％だったが、2008年では33％と増加。しかし、
　　　　2006年までは目立たなかった回答だった。

　　　　この2点のデータが紹介されている。

　○一方、国内ではまだまだ意識が低い
　・日本企業の意識が高まったのは個人情報保護法施行、J−SOXの動きが
　　始まってから。
　・内閣官房情報セキュリティセンター公表資料の、
　　　・国内企業で専任の情報セキュリティ担当責任者がいる企業は7％
　　　・情報セキュリティに強い人材を育成する計画がない企業は87％
　　との結果を紹介。

　○国内企業の意識の違いの原因は・・・？
　　・講演者は情報セキュリティに対する考え方の違いを指摘
　　　　海外の企業　→　可用性を考える
　　　　　　　　　　　　　　　　　事故を未然に防ぐように教育をして、従業員
　　　　　　　　　　　　　　　　　の意識を育てる。

　　　　日本の企業　→　機密性を求める
　　　　　　　　　　　　　　　　　起きた事故に対処をして、次は事故が起こら
　　　　　　　　　　　　　　　　　ないように意識を改めているだけ

　　・日本企業は「受け身のセキュリティ対策から抜け出せてない！」

　　・既にこれまでの対策では根本的な問題解決ができない


　○今後の対策のあり方
　　・情報セキュリティが経営的な側面に直結していることが、
　　　　「経営視点と倫理観を持ったプロフェッショナルの育成」が必要である
　　　　と指摘

　　・その人物像
　　　　　情報セキュリティを総合的に考え、
　　　　　経営層に政策を提言できる能力を持つ
　　　　　障害が起こったときに適切な対応ができる
　　　　　高い倫理観を備えセキュリティを実践できる人材

　　・人材育成のためにはコストが必要であるが、企業価値を高めるためには
　　　情報セキュリティへの投資が必要。