オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

セキュリティの課題:リテラシーとコストパフォーマンス向上は、ビジネススキル全体の底上げにも繋がる

»

情報リテラシーは幅は広く、奥が深いものです。が、考え方のポイントさえ見つければ、難しい事ではなく簡単なことに変わっていくと考えています。なぜリテラシーを高める必要があるのか?考えはじめる事から向上していくのです。これはリテラシーだけでなく、ビジネススキルにも通じることです。

重点的に取り組んだ結果として解決した内容では、「社内の啓発・教育」(60.1%)が最も多く、「企業情報の管理」(27.4%)、「セキュリティ予算の確保」(26.8%)、「顧客から預かった情報の管理」(26.1%)、「国内グループ企業のセキュリティ管理」(21.5%)の順となった。

 対策上の悩みでは、「セキュリティ予算の確保」(39.4%)や「社内の教育・啓発」(38.7%)、「人材の確保」(33.3%)との回答が目立っている。以下は「投資評価の設定」(21.2%)、「経営層の理解」(19.5%)が続いた。

この中で気になった数字は、対策上の悩みの中にある「経営層の理解19.5%」です。この数字は低いほどに良いのですが、私の体感しているのは、ここまで低くないです。イメージで言えば、60%くらいはあるように感じています。

本当に、この数字ならば「とても良い傾向」です。が、対策上の悩みである問題として、本当に認識できているのか?と疑問に思うのです。問題は問題として認識できなければ、問題であっても「そう」見えないのです。

そもそも、何のために企業が情報セキュリティに取り組むのか?ここが不明確であると、コストパフォーマンスも計りようがありません。企業は情報セキュリティに取り組まなければならない!・・・なぜ?

別にそんなことしなくてもいいんじゃない?と思ったことはありませんか?コストもかかるし、パフォーマンスも計りづらいし。。。

今は、情報セキュリティなんかにコストをかけられない。これも正しいと思います。でも、なぜ?いつなら良いのか?

セキュリティは一部でしかありません。が、セキュリティのためにセキュリティをしていることに、なんら疑問に持たずに行われている。そう感じるのです。

何のために、そんなことをするの?なんで、なんで?と、もっと疑問を感じて考えて欲しいのです。なぜ、するのか?と。

 

過去3年間での情報セキュリティに関係する事故の状況では、「重大事故があった」(4.7%)、「軽微な事故が幾つかあった」(27.9%)、「ほとんど事故は経験していない」(67.4%)だった。

 経験した事故の原因は「社員による取り扱い上の不注意」(81.1%)が最も多い。以下は、「盗難などの不可抗力」(47.0%)、「システム運用などによる人間系のミス」(34.4%)、「故意による漏えい、持ち出し」(15.3%)、「業務委託先からの漏えい」(12.2%)となった。

事故の数についても、「ほとんど事故は経験していない」7割近くの企業で、本当に何もなかったのか?と。。。

実際には、70%って数字は、もっと低いか限りなくゼロに近いはずです。これも、事故を事故として認識出来ていなければ、事故になりません。この水面下にあるような問題は、突如浮上してくるものです。しかし、水面下の状態でも小さな問題は起きてます。小さな積み重ねが、大きく崩れていくのです。

視点と立場のアプローチを変えることで、見えなかったものが見えてくることが多くあります。

ここでも、なんで?なぜ?どうして?と、疑問を持って欲しいのです。

事故の原因で人的な問題が圧倒的に多くあるのは、仕方のないことです。必ず間違いをするのが人間なのです。だから、間違いを前提に、仕組みも啓発も行わなければ効果半減です。悪意をもった原因においても、出来ない仕組みを作ることに限界がある以上は、悪意をもった実行に伴うコストパフォーマンスが如何に効率悪いかを知らなければなりません。

何もない平常時に「間違いをするものだ」とメモに書いて覚えても、悪意をもっても効率が悪い犯罪だと知らしめても、頭で理解しても、実行性は低いのです。そんな時は「どうしますか?」と質問しても、模範解答のようなことしか返ってきません。

リテラシーを向上させるためには、問題のすべてを知って、考えなければ向上しません。知るだけならば難しい事ではありません。勉強が出来て成績が良いのと、頭が良いのは別な話です。このケースは結構多くあります。理論じゃ現実性が低いのです。

もっと、疑問をもって考える事が、リテラシーの向上にもビジネススキルにも相通じるものであると、確信しています。

セキュリティのためのセキュリティから、早く解放されましょう!

関連ブログエントリー

金融機関が懸念するセキュリティリスクは従業員:食物連鎖と同じプロセスはどこも一緒

機密情報をIT管理者の88%が解雇されれば持ち出し、35%は無断アクセスする(米国調査)

三菱東京UFJ証券:1人1万円のお詫び金の算出基準ってなに?

そもそも情報セキュリティを「性善と性悪」の2つで考えるのが間違いのはじまり

続:三菱UFJ証券の情報漏洩に「情けなさ」を感じた。犯行報酬30万円の代償

退職社員のが「情報を持ち出す」ならば、突然の解雇よりも準備が出来た?みたいです

不況がトリガーに←企業情報漏洩リスク増大の調査結果

Comment(0)