セキュリティガバナンスとコストの考え方

河野省二(ディアイティ)

2014-06-04 07:30

ガバナンスが効かないとコストが上がる

 情報セキュリティはお金ばかりかかる。

 多くの経営者がこのようにこぼしています。セキュリティの対策をしていないと万が一の際に大きな損失をこうむるということで、仕方なく対処しているのが現状です。情報セキュリティはどうしてこうも金食い虫なのでしょうか。

 残念ながら、費用をかけずに情報セキュリティの対策は実施できません。個々の意識を向上することでシステムなどに頼らない対策は可能ですが、従業員がセキュリティばかり気にしていては生産性の低下につながり、結果として人的なコストがかかっていることになります。

 では、ITの利用を禁止すれば良いと、PCの持ち出しやクラウドサービスの利用、USBメモリの利用などの禁止を提唱する専門家もいますが、これも間違いです。生産性を向上するためにITを導入するという目的に反するからです。

 そもそもなぜ便利なITの利用が禁止されてしまったのか。

 企業が情報セキュリティマネジメントの際に参考にするのが「JIS Q 27001」という規格です。一般財団法人日本情報経済社会推進協会(JIPDEC)が運営しているISMS適合性評価制度の基準にもなっています。国内では、企業が情報セキュリティ対策するといえば、ISMS適合性評価制度を受けるということであり、第三者評価のスタンダードとなっています。案件の入札や取引条件などに組み入れられていることもあります。

 「○○禁止」というのは、このISMS認証を短期で取得するためにコンサルタントが考えついた方法の1つだったのです。ISMSではすべての情報資産を管理することが望まれます。情報セキュリティは情報資産のセキュリティであるというコンセプトのもと、資産の状況に応じて変化するリスクについて検討する必要があるからです。持ち歩くため資産状況が変化するモバイルPCはリスク管理が難しく、ISMSを取得するために十分な対策を講じることができず、リスク回避(利用禁止・利用制限)という対策方針を選択したのです。

 もちろん、将来はこれに対して十分に対策しようというのがコンサルタントの方針だったのかもしれませんが、いつのまにかPC持ち出し禁止が定着してしまったというのが現状です。

 これらの対策を採用している企業では、持ち出し専用PCという形でセキュリティを要塞化したモバイルPCを貸し出して運用しています。この形態ではOSやアプリケーションのアップデータが頻繁に公開されている現状、最新の状態に保つためのコストが非常に大きくなります。

 情報セキュリティでは資産の管理コストが問題、かといって持ち出し専用PCを作ると資産を増大させることになり、企業の管理コストも個人の管理負担も増えます。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]