情報セキュリティ”と一言で表現することが多いのですが、実際には、
- 企業や個人が守るべきデータは何か?
- 対象とする機器(パソコン、スマホなど)は何か?
- ユースケース(どんな状況で活用するのか)は?
など、目的や対象、運用や利用方法によってその対応は異なります。
情報セキュリティへの投資の現状
少し前までは、売上げを生まない情報セキュリティへの投資=“コスト”と考え、セキュリティ対策ツールの導入を見送ったり、取り敢えずのセキュリティ対策で済ましていたりする企業が数多く存在していました。
日本は、情報漏えいやサイバー攻撃についての意識が諸外国に比べて低いということもたびたび指摘されていることからもわかる通り、企業での情報セキュリティの重要性をあまり感じていなかったのかもしれません。
そのため、情報化社会が進むにつれ「個人情報の漏えい」や「ランサムウェアによるデータの身代金要求」、「仮想通貨の流出」など、企業や個人が被害にあうケースが頻繁に発生すると共に企業の信用問題にも発展する事件が急増している状況にあります。そのため、最近では徐々に情報セキュリティへの投資=”必要なコスト”と考える企業が増えてきています。
情報セキュリティへの投資を行うための準備
しかし、実際に”情報セキュリティへの投資”を行うにあたり、「何から初めたら良いのか?」、「どのレベルまで行うべきか?」など、計画の段階で迷いを生じることも多々あるかと思います。
本来情報セキュリティの導入を行うためには、まずセキュリティに関心を持ち、実態を調査し、リスクを把握するなどの知識を身につけた上で、経営者も巻き込みながら、情報セキュリティへの投資の検討や実行を行う必要があります。
本コラムでは、ここで挫折しないために、身近なものとして車の所有と保険に対比して考えてみたいと思います。
◆自動車の所有と利用
自動車離れが進んでいると言われていますが、移動手段、荷物の運搬、ドライブなど、車がある生活はやはり便利なはずです。
普段は気にしていないかも知れませんが、自動車の所有と利用という行動のなかに、セキュリティ投資の考え方のヒントがあるのではないかと考えます。
情報セキュリティポリシーを策定する
自動車を運転するためには、自動車免許を取得しなければいけません。
運転するために必要なルール”道路交通法”について教習所で学び実技練習を経て、テストに合格するという流れです。
情報セキュリティ対策においては、もちろん資格制度や各種ガイドブック等はありますが、”道路交通法”のような法律(定め)があるわけではありません。
情報セキュリティ対策においては、自社の運用に合わせた”情報セキュリティポリシー”を検討・策定し、社内教育をする必要があります。
セキュリティ対策の最初段階では情報セキュリティポリシーの検討・策定を行い、それを社員に教育するというところからスタートになります。
そのためには、情報セキュリティポリシーの検討・策定し、運用・見直し等を実施できる体制を作ることが必要で、CIOとCISOを決めて取り組むと良いかと思います。
※CIO(Chief Information Officer:最高情報責任者)
※CISO(Chief Information Security Officer: 最高セキュリティ責任者)
CIOとCISOの適任者がいなくても、まずはそれらのポジションを置き、教育や勉強をしながら取り組む事が大切です。
セミナー等で他社の取り組みを見本にしたり、各種情報セキュリティガイドラインを読んで参考にすると良いかと思います。
情報セキュリティ対策においては、どのようなツールを導入するか?にフォーカスしがちですが、まずは基本的なところから取り組みましょう。
◆ポイント
- 情報セキュリティ対策を実施できる組織を作る
- 情報セキュリティポリシーを策定し社員教育を行う
組織作りや情報セキュリティ対策教育は、もっとも重要な”投資”の一つとなりますので、しっかりと計画的に進めていきましょう。
まとめ
今回は、「情報セキュリティへの投資の考え方と実施方法~準備編~」ということで、情報セキュリティに関する考え方を記載しました。
情報セキュリティは、1度の対策で終わるわけではありません。サイバー攻撃などの不正アクセスなどは年々多様化してきますし、テレワークなどにより業務が効率化される反面リスクも発生します。
そのため、責任者を含めた組織づくりとセキュリティポリシーの策定が重要で、組織的に情報セキュリティへの関心と実践を念頭に置き、準備を進めていくことが重要になります。