セキュリティの潮流

問題が起きてから対策を講じるという情報セキュリティは、経営施策としては“守り”になりがちだ。しかし、CSRや法令遵守などを考慮した情報セキュリティガバナンスは企業価値を向上させることができるということを、日立システムアンドサービスは主張している。

セキュリティへの投資をどこまでするか

「どこまで投資すればいいのだろうか」――。この悩みは、情報システム部門でセキュリティを担当している人間であれば、一様に抱えるものなのかもしれない。不正アクセスにウイルス、迷惑メール（スパム）、さらには個人情報漏洩、内部からの機密情報流出……。担当者が不安に陥る課題は山積したままだ。

しかし、それらが必要とする費用をどうやって捻出すべきか、部門長あるいは経営トップにどのようにして納得してもらえればいいのだろうか、そんなことで悩むセキュリティ担当者も多いのではないだろうか。

たとえばスパム対策一つをとっても、なかなか手を出しようがない。エンドユーザーが本来必要とすべきメールの7〜8倍は受信されるというスパム。業務に必要となるメールを見つけ出すのに、スパム削除ばかりしていては生産性が低下するのは目に見えている。そればかりか、大事な案件を記した取引先からのメールを間違って削除することにもなりかねない。だが、実際の企業現場では、「スパムごときにお金をかけてはいられない」と対策費用を出してもらえないということもままある。

モグラ叩きになってしまってはいけない

株式会社 日立システムアンドサービス
ネットワーク・セキュリティソリューション本部部長
河合 均氏

大手システムインテグレーター（SIer）の日立システムアンドサービス（日立システム）でネットワーク・セキュリティソリューション本部部長を務める河合均氏は、こうした企業の対応策をつぶさに見てきた経験とセキュリティのプロとしての責任から「企業のセキュリティ対策がモグラ叩きになってしまってはいけない」と注意を促す。

たとえば不正アクセス事件が起きたからといって、不正アクセス対策に乗り出し、ウイルス感染事故があったからといって、ウイルス対策に講じる。こうして“モグラ叩き”をしたままでは、それこそどこまでいっても投資を続けるばかりで、経営層を納得させることはできないだろう。

ここで問い直すべきなのは、根本に立ち戻り何のためにセキュリティシステムを構築するかということだ。この問いに対し河合氏は、こう語る。

「情報セキュリティのガバナンスを確立することは、企業価値の向上に直結しているという事実があることを思い出すべきでしょう」

企業価値向上へのシナリオ

セキュリティ対策は企業価値の向上策となる
※クリックすると大きい画像を表示します。