ガバナンスが効かないとコストが上がる
情報セキュリティはお金ばかりかかる。
多くの経営者がこのようにこぼしています。セキュリティの対策をしていないと万が一の際に大きな損失をこうむるということで、仕方なく対処しているのが現状です。情報セキュリティはどうしてこうも金食い虫なのでしょうか。
残念ながら、費用をかけずに情報セキュリティの対策は実施できません。個々の意識を向上することでシステムなどに頼らない対策は可能ですが、従業員がセキュリティばかり気にしていては生産性の低下につながり、結果として人的なコストがかかっていることになります。
では、ITの利用を禁止すれば良いと、PCの持ち出しやクラウドサービスの利用、USBメモリの利用などの禁止を提唱する専門家もいますが、これも間違いです。生産性を向上するためにITを導入するという目的に反するからです。
そもそもなぜ便利なITの利用が禁止されてしまったのか。
企業が情報セキュリティマネジメントの際に参考にするのが「JIS Q 27001」という規格です。一般財団法人日本情報経済社会推進協会(JIPDEC)が運営しているISMS適合性評価制度の基準にもなっています。国内では、企業が情報セキュリティ対策するといえば、ISMS適合性評価制度を受けるということであり、第三者評価のスタンダードとなっています。案件の入札や取引条件などに組み入れられていることもあります。
「○○禁止」というのは、このISMS認証を短期で取得するためにコンサルタントが考えついた方法の1つだったのです。ISMSではすべての情報資産を管理することが望まれます。情報セキュリティは情報資産のセキュリティであるというコンセプトのもと、資産の状況に応じて変化するリスクについて検討する必要があるからです。持ち歩くため資産状況が変化するモバイルPCはリスク管理が難しく、ISMSを取得するために十分な対策を講じることができず、リスク回避(利用禁止・利用制限)という対策方針を選択したのです。
もちろん、将来はこれに対して十分に対策しようというのがコンサルタントの方針だったのかもしれませんが、いつのまにかPC持ち出し禁止が定着してしまったというのが現状です。
これらの対策を採用している企業では、持ち出し専用PCという形でセキュリティを要塞化したモバイルPCを貸し出して運用しています。この形態ではOSやアプリケーションのアップデータが頻繁に公開されている現状、最新の状態に保つためのコストが非常に大きくなります。
情報セキュリティでは資産の管理コストが問題、かといって持ち出し専用PCを作ると資産を増大させることになり、企業の管理コストも個人の管理負担も増えます。