【第6回】セキュリティ文化を企業に根付かせる必要性とは

　これまで、企業におけるセキュリティ監査の現状と課題を紹介し、企業のセキュリティ対策は進展しているものの、そのセキュリティ対策全体を管理するセキュリティマネジメントについてはまだ不安があることを明らかにした。その対策として、NRIセキュアテクノロジーズ（以下、NRIセキュア）のPC CheckとAccess Checkにフォーカスをあて、セキュリティマネジメントをどう実現するか、その方法を示してみた。最終回となる今回は、セキュリティマネジメントを実現するためのベンダー選定基準をどこに置くべきかにフォーカスをあて、それに対して、セキュリティマネジメントを企業の文化にまで昇華させようという理念を掲げるNRIセキュア独自の強みを深く掘り下げてみたいと思う。

■セキュリティ文化を企業の体質に

　NRIセキュアによるこれまでの調査では、個々のセキュリティ対策を実施している企業は多いが、そのセキュリティを全体として管理するセキュリティマネジメントに関して自信がある企業は少ないというデータが得られた。また、自社で実施しているセキュリティ対策の効果を評価する仕組みが必要だという声も多かった。

　たとえば、情報システム予算200億円のうち、20億円をセキュリティ対策に投入したとして、どの程度効果があったのか、セキュリティインシデントが発生しないことがセキュリティ対策の効果と言えるのか。こうした効果測定の指標がないため、各企業はそれらを課題として認識している人が多いのだという。

　個々のツールや特定技術の導入は進んでいるが、PDCAサイクルを回してセキュリティポリシーを高めていくようなマネジメントのレベルには達しておらず、「何を、どこまでやったらいいのか、いつまでも疑問を感じている」というのが多くの企業の現状で、セキュリティの導入効果が把握できていない点が課題、というのがNRIセキュアの認識だ。

　セキュリティ対策を導入するにあたり、従来のセキュリティ製品あるいはSI企業に依存するか、あるいは、個々の課題毎に製品を選択して対策を施すケースがあるが、それらの場合、往々にして、全体をマネジメントするという視点が弱くなる傾向がある。全体を見るマネジメントの視点と技術的なアプローチに対してどのようにバランスをとるかが重要である。

　セキュリティ分野の技術開発は、大手からベンチャーまで、数多くの企業が行っている。ところが、「実際の業務や制度を想定して、どのように使われるかを検討した、こなれた機能にまで落とし込まれていないケースが少なくない」とNRIセキュアは指摘している。「技術そのものが必要なのではなく、使われて初めてセキュリティ対策導入のプロジェクトが完成する」という。