【第2回】「企業におけるセキュリティ監査をとりまく現状と課題、対応策（後編）

前回お伝えしたとおり、企業のセキュリティ対策における個別対応は進展しつつある。しかしながら、包括的なセキュリティマネジメントについて徹底化されている企業はまだ少ないのが現状である。今回はセキュリティマネジメントが一般に浸透しない要因について、引き続きNRIセキュアの定期レポート結果を交えながら解説していこうと思う。

■業務の効率化と社員の保護を実現するセキュリティマネジメント

　企業が進めているセキュリティ対策は、たとえばウイルスやスパム対策やIDSなどのネットワークセキュリティだったり、個人情報漏洩対策だったり、個別の対応が主流である。基本的には、アプライアンスやソフトなどのツールを導入する、社内ルールを策定する、といった対策がメインとなっているだろう。

　しかし、セキュリティのツールを導入しただけではセキュリティのマネジメント管理ができているとは言い難い。ツールやソリューションの導入を経て、マネジメントの確立が必須となる。例えばログを収集するツールを導入しても、収集したログを分析、管理するなど、具体的な対策につなげる仕組み作りに繋がらなければ導入の効果が薄れてしまう。

　各種セキュリティツールの導入による対策が進んだ結果、セキュリティに纏わる事故は減少してきている。対策が進むと「うっかりミス」での情報漏洩などの事故は減る。NRIセキュア社によると、本来のセキュリティマネジメントは、社内のシステムを悪用する社員を探し出すためというよりは、セキュリティ事故から「社員を守るためのもの」だという。セキュリティマネジメントの確立の目的は悪意から情報資産を徹底して守り、善意の社員が無意識の中で引き起こすようなセキュリティ事故を未然に防ぐことにある。

　しかし、セキュリティ対策は導入よりもそれを維持していくことが難しい。たとえば今までウイルス対策をしてきて、そこにIDS等を追加するとなった場合、システム部門の管理における仕事量が増える事になり、当然ながら人的リソースの関係もあるため維持するのが難しくなる。結果として「追加導入したいのはやまやまだが…」という羽目になりかねない。

　また、昨今の企業を表現するにあたり、業務のアウトソーシングと人材の多国籍化というポイントは見逃せない。産業スパイのような悪意のある人間が入り込む余地が大きくなることから、これまでのセキュリティマネジメントの対象範囲を拡大していく必要がある。

内部統制は社内だけでなく、アウトソーシング先でも強化しておく必要がある

※クリックすると大きい画像を表示します。

　企業における重要な情報は個人情報のみならず、開発中の製品データや設計図、そしてノウハウのような知的財産に関わるデータに加え、財務関連の情報など多岐に渡る。個人情報の漏洩自体は、コンプライアンス（法令順守）にかかわるダメージと、損害賠償の可能性という問題があるが、知財などの情報の漏洩は、ビジネスに直結したダメージが与えられる。