第7回：セキュリティマネジメントは「統制可能なリスク」を管理することだ - (page 2)

セキュリティ対策を3階層に分けて考える

--のような新しいマネジメントの中で、具体的にセキュリティ対策を進めていくにはどのようなアプローチが必要なのでしょうか。

大木氏：　従来、情報の管理や活用について具体策を実装してきたのは企業のIT部門です。ですから、IT部門の方がその経験を活かして中心的な役割を担う必要があります。個人情報保護法の施行を前にして、これだけセキュリティ事件が取り沙汰される中、セキュリティ対策そのものが大きく変わる必要があります。

　そこで私は3階層のセキュリティ対策を提唱しています。まず上位にあるのは「ストラテジー層」。いわばセキュリティポリシーに当たるところで、企業の経営戦略や企業風土、理念の中に情報セキュリティに対する意識を埋め込んでいくことです。いまや、情報は誰でも簡単に入手できる時代です。そこで経営の根幹に「情報を大事にする」ということを入れていかないといけません。CSO（Chief Security Officer）などを任命するのも、この層の取り組みに含まれます。

　第2は「プロジェクト層」です。CSOが企業文化に基づき、戦略的にセキュリティ施策を練る中で、その具体的な業務をプロジェクトとして切り出し、「どういう体制でいつまでに何をやるか」をまとめていく層です。今日、プロジェクト層とストラテジー層の境はグレーゾーンになっています。そこを明確に線引きして、例えばプロジェクト層でISMSを取るとかプライバシーマークを取るとかいった具体的な対策を考えていくことが必要です。

　最後の「ソリューション層」は、プロジェクト遂行にあたり、実際に使うテクノロジやソリューションを組み合わせてデザインする層です。つまりソリューションを組み合わせたものがプロジェクトであり、プロジェクトは戦略に則っているﾉﾉこうした階層が必要です。いまは個別にソリューションだけがバラバラと動いている状態で、それでセキュリティ対策をやっているような気になっているんですよね。でもやはり個別ソリューションではなくプロジェクト単位でセキュリティ対策を練っていく必要がありますし、プロジェクト生み出すストラテジーがあってこそ、構造的に企業が変わっていくのではないでしょうか。

拡大表示

--そこでソリューションに目を向けると、バラバラの技術が混在しており、具体的な形を描けないという問題がありますね。

大木氏：　アーキテクチャがないということですね。それがストラテジー層の最大の問題です。これは政府の政策にも表れていないため、レファレンスすらなく、これから社会的に考えていかなければならない分野です。そこをうまく作って、2番目の層でプロジェクトをデザインして実装に落とし込まないといけないのですが、デザインのフレームワークもないんですよ。いまSI企業もセキュリティフレームワークを提案していますが、実際に使う企業の立場の視点かといえば少々疑問がありますし、価格も高くなります。もちろん、SI企業が提案するセキュリティ対策のフレームワークを1つのアーキテクチャとして見れば、決して高くはないかもしれません。だからこそ、ストラテジーとプロジェクトとソリューションの3つの層に分けて考えて、最適なものを選択していく取り組みが必要になるのです。

セキュリティ意識を持つ社員とは何か

--次に具体的な取り組みについてもお伺いしたいのですが、たとえばソリューションを選択するうえで、エンドユーザー企業とソリューションを提示する側には技術知識について開きがありますね。このギャップを埋めるために、ユーザー企業は何をすべきなのでしょうか。

大木氏：　セキュリティ対策のオペレーションに当たっては、セキュリティ・アドミニストレーターのように専門性も技術知識も必要になります。ここについては、マネージド・セキュリティサービスと呼ばれるようなアウトソーシングサービスを活用するのも一手ですね。これからセキュリティのアウトソーシングサービスはかなり伸びると思われます。

　それからもう1つ、先ほど「組織戦略の中にセキュリティ理念を持つべき」とお話しました。組織は人で成り立っています。つまり社員1人ひとりがセキュリティに対する意識を持ち、セキュリティ対策できることが重要なのです。それはどういうことかというと、「自己管理ができる」ということ。当社の2000名強のコンサルタントについても、機密情報が入ったPCを持ち歩いてクライアント先に行くのですから、自己管理を徹底させていますよ。たとえばPCを紛失した場合でも、どのような対策を施せば情報漏えいを防げるのか、失った情報をどうすれば復元できるかを常に考えろと。

　これは今日のような、人材の流動化が激しい時代において重要なテーマだと思います。では、どうすれば社員の自己管理能力を高めることができるか。1つには、「自己管理できる社員だけを集めてやっていこう」というアプローチもあります。社員が会社を辞めるときには、それまで得た情報の管理や、負うべき義務を明確にする。こうした人材へのアプローチがなければ、いくら技術だけを入れても無駄になるでしょう。極論をいえば、「自己管理できない人は、会社を辞めてもらうしかない」と。こうした意識がだんだんと広がっていくのではないでしょうか。もちろん職種によって異なるとは思いますが、セキュリティ文化の醸成は、結局はそうした個人の意識の変革に結び付くと思います。