自分の組織の経営理念を理解している方ほど、情報セキュリティへの意識が高い。

――企業における情報セキュリティへの意識がさらに高まってきていると思いますが、後藤さんから見て、現在はどのような状況にあると思われますか？

後藤さん：今一番感じているのは、ITリテラシーに対する企業間のギャップですね。私たちコンサルタントやエンジニアと変わらない知識を持つ方と、まったく興味を持たない方のギャップが著しいです。情報セキュリティに対する責任者は誰なのかというとやっぱり経営層になってくると思いますが、特にその経営層でのギャップが大きいです。

――情報セキュリティの責任は経営層が負うものであると。

後藤さん：日本では、「自分は経営者だから、情報セキュリティのことはCISO(最高情報セキュリティ責任者)に任せています」という方が多いのですが、アメリカをはじめとする他の先進国ではそのような経営者のほうが少数派です。CIO(最高情報責任者)がCISO以上に詳しくて、役員と言いながら情シス担当として実際に指示を出し、商談にも参加しているなんてこともあります。日本ではそういう動きをできる経営者の方は本当に稀ですね。情報セキュリティのことはまったく知らない、打ち合わせにすら出たくないという方が多いです。

――今後、日本でもアメリカのような経営層が増えてくるのでしょうか。

後藤さん：東京オリンピックや伊勢志摩サミットの影響で、日本でもすでに考え方を変え始めている経営者は増えてきています。10年先の情報セキュリティ投資をということで海外の方を担当者に入れている企業もあります。また、中央省庁や大学機関では、よりセキュアな環境の実現のために最先端のオープンな技術を積極的に取り入れていますし、セキュリティに割り当てる予算額も明らかに増加していますね。

――中央省庁や大学機関などにおける情報セキュリティに対する意識が高くなったのは何年くらい前からなのでしょうか。

後藤さん：私が変化を感じ始めたのは5年くらい前からですね。官庁の方だけの知識では足りないということで、民間の企業からCIO補佐官をアサインするなどして、最新のソリューションを取り入れて行こうという動きが活発になりました。一昨年(2014年)の11月にサイバーセキュリティ基本法(※)が制定され、昨年(2015年)に施行されてからはさらに意識が高まっているのを感じています。

※サイバーセキュリティ基本法

――中央省庁や大学機関での動きに対し、一般企業の社員の方の間での情報セキュリティへの意識の変化は感じますか？

後藤さん：経営層と同じことが言えますが、関心のない方の変化の無さが、逆に目につくようになってきました。話が少し飛躍しますが、一般企業でもセキュリティ意識の高い方は、「貴社の経営理念は何ですか？」と尋ねると即答できる印象があります。自分の組織の経営理念、行動規範を理解されている方は、会社が何のために存在し、社会にどのような責任を果たす義務を負っているのかということを良く理解しているので、会社や社会に対し情報セキュリティを守っていくために必要なことを自分で調べて、積極的に勉強している方が多いです。おそらくそういう方は、『情報セキュリティマネジメント試験』のような資格や知識体系も積極的に取り入れていくと思います。

――経営理念を理解している方ほど、セキュリティ意識が高いというのは面白いですね。

後藤さん：会社の夢やビジョンが社員間で共有されている企業は、本当にセキュリティが固いです。会社のビジョンを具体的なアクションプランにブレイクダウンする際に、意識の高い会社ほど社員の誰かがセキュリティリスクに気付いて改善を訴えているでしょうね。逆に効果的なセキュリティ対策をしっかりとしている企業ほど、それに比例して社員の方の意識が高いとも言えるのかもしれません。

情報セキュリティにまつわるトラブルには、“人”への対策が重要。

――セキュリティ意識の低さからくるトラブルには、どのようなケースがありますか？

後藤さん：クライアント端末の操作ログやURLフィルター(見てはいけないWebサイトの閲覧を制限するソフト)のログをチェックすることがあるのですが、意識の低い社員の方がいると、禁止している操作(許可していないUSBの接続など)やブロックされたサイトのログが多くなるのでログの確認がとても大変になります。確認すべきログが多いということは、それだけ運用の手間もかかるしコストもかかります。

――意識の低い方がいる会社では、コストの面でもリスクがあるんですね。

後藤さん：情報セキュリティ対策って、一般的にはファイヤーウォールやアンチウイルスソフトを導入することだと思われがちですが、本当に対策しなくてはいけないのはそこで働く“人間”で、人間による操作にどれだけ問題があるかということに気が付くことだと思います。これまで情報セキュリティはハードウェア、ソフトウェアの力でどうにかしようという発想が基本でした。しかし、実際にトラブルの原因を追究していくと“人間の行動”であることが圧倒的に多いです。一部の社員のリテラシー、もうモラルと言っても良いと思いますが、モラルの低い社員の方の行動が事故につながる大きな要因であることは間違いない事実でしょう。

――“人”によるトラブルは、他にどのようなケースがありますか？

後藤さん：一番多いのはマルウェアの感染ですね。ほとんどがWebサイトからの感染ですが、なぜ感染したのか追究していくと、業務に関係のないサイトを閲覧しているケースがほとんどです。特に最近は、スマホゲームの攻略サイトや特定の話題に特化したニュースサイトやまとめサイトの閲覧が多いですね。閲覧しただけで感染するようなサイトが結構あって、一人が感染したことにより一部署の業務が完全に停止するケースも少なくありません。逆にモラルは高いけどリテラシーが低いというケースもあって、仕事を効率化しようと一生懸命フリーソフトを集めていて、海外のフリーソフトをインストールしたら実はトロイの木馬が入っていたということも多いです。

――情報を守るためには、“人”への対策が重要なんですね。

後藤さん：『情報セキュリティマネジメント試験』のような資格ができると、やはり“物”から“人”への対策にシフトしてきていることを実感しますね。海外でも日本でも、とにかく信頼できる人材を集めるのは大変だと聞きます。情報セキュリティに対する意識や姿勢が確かで、かつ能力的にも信頼できる人間を十分に集めるのは本当に大変で、IT業界内での人材不足は深刻なようです。

エンジニアには技術の教育だけでなく、“考え方の教育”を。

――“人”への対策以外には、どのような対策が考えられますか。

後藤さん：一番にはまず、どんな企業、組織であろうと、確固たる”情報セキュリティの基本方針”が必要だと思います。できればそれは経営方針からブレイクダウンしてきたものが良いと思います。経営方針で「会社が守る資産には情報資産が含まれています」ということを明確にできれば、それをあらためて情報セキュリティの基本方針として取り込んでいけると思いますが、経営層が自社でどのような個人情報を扱っているのか知らないケースも少なくありません。海外、特にアメリカでは情報セキュリティの問題は経営層の責任問題に発展することですので、経営層手動でしっかりとブレイクダウンができているケースが多いですが、日本ではまだあまり一般的ではないですね。

――アメリカの企業での情報セキュリティに対する意識はやはり高いですね。

後藤さん：CISOが企業のナンバー2というケースも多いですね。企業のナンバー2が情報セキュリティの最高責任者として自分の果たす責任を常に考え、自分たちのビジネスと情報セキュリティの関係性を十分精査した上で、具体的に必要な対策を行っています。かたや日本では業務がITに依存していることを自覚していない経営者の方が多いです。ITはそもそも潜在的に様々なリスクがあるものですから、ITを業務に取り込んでいるということは同時にリスクも取り込んでいるということを理解し、十分なリスクマネジメントをする機会をもって欲しいです。

――日本でも今後はアメリカのような取り組み方になっていくのでしょうか。

後藤さん：今後なっていくのではなく、今すぐに取り組んで欲しいですね。 なっていくんだろうなあという意識ではなく、自分たちが変えていくんだという意識を一社でも多く持って欲しいです。それに対して気づきを与えるということで『情報セキュリティマネジメント試験』のような資格の存在は有効だと思います。社会や会社のリスクを減らすためにも、会社側がこのような資格の取得を推奨して欲しいです。資格を持つ方は、その知識によって企業をリスクから助けてくれますので、相応の報酬や手当も積極的に出すべきだと思います。

――企業内でのセキュリティ対策について、他に具体的な対策方法はありますか？

後藤さん：会社のデータベースに機密情報が詰まっているようであれば、データベースに対しての操作ログを監査する必要がありますね。データベースのエンジニアに匿名のアンケートを取ると、「いつか持ち出してしまうかもしれない」と答える人が少なくないんですよ。しかし、誰がどんな操作をしたのかというログが残る匿名性のないセキュリティソリューションであれば、それはできなくなりますよね。また、基本方針に基づいて、会社の情報資産がどこにあるのかを明確にし、データベースであればデータベースを、エンドポイントであればエンドポイントを守るのに最適なセキュリティソリューションを導入していくべきだと思います。

――エンジニアの匿名性をなくすという話は、また“人”への対策の話につながっていきますね。

後藤さん：技術の教育だけでなく、会社が情報セキュリティに対しどのような取り組みをしているのかという、“考え方の教育”も必要だと思います。情報システム部門の方には、さらにサイバー攻撃者がどのような立場で攻撃してくるのか、どのような傾向があるのかというのも知っておいて欲しいですね。攻撃者が欲しい情報が会社にあるから狙われるわけで、攻撃者が欲しがる自社の情報は何だろうということを把握しておいて欲しいです。それが分かれば、攻撃者のさらに先をいった防御ができるようになると思います。サイバー攻撃は犯罪ですので、それを裁くためにサイバーセキュリティ基本法もできましたが、攻撃者は法律上問題ない範囲での攻撃を試してくるはずです。会社でもそれを意識した上で対策を行っていれば狙われにくくなるはずです。情シスが攻撃者や犯罪について学んでいる会社はかなりセキュリティが固いですよ。

＜株式会社アジアンリンク＞
〒140-0002 東京都品川区東品川2-2-4天王洲ファーストタワー 18階
電話：03-5781-0730
URL：http://www.asianlink.co.jp/
設立：2007年8月1日
社員数：120名
経営理念：社員に安心と働く楽しさを提供し世の中に喜びを提供する

＜後藤勇人さんプロフィール＞
ITコンサルタント。20歳で開業しフリーのSEとして多くの現場を経験。中央省庁や重要インフラにおけるコンサルティング業務経験や、大手セキュリティ会社との協業で培ったリスクアセスメント業務経験を生かした、ITリスクに関する多くの相談に対応されています。好きな食べ物はマグロ。

【相談無料】ITリスクに関するご相談は下記のメールへお問い合わせください!!
ITリスクの119番 al119@asianlink.co.jp