はじめに
株式会社プルーゲン/ITコンサル担当の鈴木です。
今回は「セキュリティ」について、投稿してみたいと思います。
セキュリティと言っても、専門的な内容ではなく、概論または私の経験に基づく所感となりますので予めご了承ください。
セキュリティリスクとは
現代の私たちの周りには、ITに関するさまざまなセキュリティリスクが存在します。
また、その手口も日々高度化しており、パソコンにウィルスソフトをインストールするだけでは安全とは言いきれな状況となっています。
加えて、最近ではテレワークをはじめとする様々な業務においてインターネット接続が不可欠な状況となっていて、セキュリティリスクは広がる一方となっています。
実際にセキュリティリスクに晒された場合、自社が著しい損失を被ることは周知の事実かと思います。
もっと厄介なのは、損失を被った被害者にも関わらず、転じて加害者にもなり得ると言うことです。
- 端末やネットワークの不具合、誤作動による業務への支障
- 管理していた個人情報の流出、漏洩
- 自社内のPCを悪用した他社(他者)への迷惑行為
これらの状況を考えると、やはり端末やネットワークを保護するセキュリティ対策はとても重要になってきます。
対策方法としては、侵入予防、侵入検知、侵入後非拡散など色んな形式や考え方があり、やはり肝となるのは自社の何を・どのレベルで・どのように保護するかを検討する必要があります。
検討すべきこと
ここで1つ大事なことを理解しておく必要があります。
セキュリティ対策に「100%完璧なものは無い」ということです。
理由は、冒頭にも述べたとおり技術は日進月歩で進化しているということと、人が介在する以上ヒューマンエラーを100%避けられないということです。
それを踏まえた上で、自社における情報セキュリティをどう考えるのか?ということになります。
- トータルのリスク分析ができているか
- 企業(家庭)のネットワークへどのような接続方法があり得るのか
- 企業(家庭)のネットワークへ接続する人への啓蒙、教育はどうするか
- 経営視点、現場視点の各々での方針、ルール作成ができているか
- 万が一の事態が起きた場合の対応、対処方法はどうするか
ここで特に留意していただきたいことは、「経営視点と現場視点の各々で方針、ルール作成をする」ということです。
セキュリティ対策については、社内で画一的なルールで縛ってしまうと、その一方で利便性が失われ、業務遂行に支障を与えてしまうケースもよくあります。
また、トップダウンによる周知徹底も時には効果を発揮しますが、行きすぎると現場が萎縮してしまうこともありますので、各社の状況に合わせてバランスをとっていただくことが良いと思います。
セキュリティと利便性
セキュリティの話に付いてまわるのが、利便性の話です。
セキュリティを高めれば高めるほど、逆に利便性が失われるというトレードオフとなる何とももどかしい事象です。
最近では、「ゼロトラスト」と言って両立を目指す考え方も普及しつつあります。
直訳すると「信頼ゼロ」です。
セキュリティと利便性を両方担保するために、全てを信頼せずセキュリティ対策をするということです。
従来は、外部からのリスク対策が中心でしたが、ゼロトラストの概念は内部にもリスクはある、言い換えれば「何も信頼せずにセキュリティ対策をする」です。
最後に
では、ゼロトラスト実現にはどうしたら良いのでしょうか?
社員(ユーザー)の情報リテラシー向上、社内ルールの決定と周知、ゼロトラスト実現のための予算確保等が挙げられます。
何も信頼せずにセキュリティ対策をするということは、相応の予算も必要となってきます。
冒頭に述べたセキュリティリスクを経営視点で考えた場合、セキュリティ対策に充てる予算は「費用」or「投資」のどちらで捉えるのが適当でしょうか?
この考え方一つとっても結果は大きく異なるかと思います。
今回はここまでにしておきたいと思います。
最後まで記事を読んでいただき、ありがとうございました。
皆さまの事業活動がシステマチックで好循環となりますように。
