シマンテックは5日、「企業内個人における情報セキュリティ管理、その現状と問題点」に関する調査の結果を紹介し、この調査を踏まえて同社が提案するベスト・プラクティスについて説明した。
調査は、ガートナーのITデマンド調査室 中野長昌氏によるもの。同氏は昨今のセキュリティ・インシデントの実例から、「委託先・関連会社から」「携帯電話・USBメモリを通じて」「役員が関与して」といった状況が目立つようになってきたことを紹介した。一方で、セキュリティ・ポリシーの策定やセキュリティに関する社員教育などを実施している企業は増えており、管理体制強化は進んでいるという。そのため、「これからの情報セキュリティ管理は"広さ(導入・普及)"ではなく、"深さ(遵守・評価)"の視点が重要になる」と指摘した。
同氏は続けて、「企業内個人とPCCAサイクル」に注目する必要があると話す。企業内個人では、"ナレッジワーカー"の増加が注目されるという。ナレッジワーカーとは「高度の専門能力、教育または経験を備えており、その仕事の主たる目的は知識の創造、伝道または応用である」と定義される。自立性を重んじる、人に指図されることを嫌う、多少の管理が必要である、画一的でない、などの特徴があり、情報セキュリティ管理の観点からは、「情報セキュリティ管理の遵守・管理において、最も適していない人種」と位置づけられるという。こうした人材の増加に対応して、適切な情報セキュリティ管理を実現するための手法として同氏が強調したのが、PDCAサイクル(Plan"計画・策定"、Do"実行・遵守"、Check&Action"チェック・監査")をセキュリティ管理にも取り入れ、継続的な改善を図っていくことだ。
続いて、シマンテックのコンサルティング本部 ラスカウスキー照美・本部長が、同社のグローバルコンサルティングサービスについて説明し、中野氏が指摘した問題点に対し、同社のコンサルティングサービスがどのような解決策を用意しているかを紹介した。
同氏によると、PDCAサイクルがうまく回らない理由として、Planの段階で理想論に走ってしまい、非現実的な計画になりがちという点と、Checkのところで第三者による公平な監査を実施すること、さらに、チェックの結果不備があった場合に適切なペナルティを課すこと、といった辺りが特に重要なポイントとなるという。
非現実的な計画になってしまうのは、セキュリティ管理をIT部門が技術の問題として取り組むことに原因があるという。技術の視点で万全を期そうとすると、コスト高のシステムを導入した上、ユーザーの使用感を妨げるようなことにもなりがちだが、セキュリティはビジネスの問題だという視点に立ち、投資と効果/リスクのバランスを考える必要があるという。このためには、セキュリティ管理を考える際にIT部門だけではなく、ビジネス部門の参加が不可欠だという。また、役員やナレッジワーカーなどが、セキュリティ管理に対して関心を持たなかったり非協力的な態度を取ることで、結果としてセキュリティ上の問題を引き起こしてしまうことがあるという問題に対しては、社内の当事者による自己評価で改善するのは困難なので、第三者による監査が有効だという。さらに、ペナルティをきちんと課すことでルールが形骸化していないことを明確にし、遵守の意識を高めていくことができるという。
コンサルティングや第三者による監査というところで、どうしてもシマンテックのビジネスに誘導されている印象は拭えないのだが、それでも「実現可能な現実的なプランに基づき、厳正に実施していくことで遵守意識が高まる」という点は確かにその通りだろうと思われる。様々なセキュリティ対策を工夫しているつもりだが、今ひとつ効果が感じられないと考えている担当者には、示唆に富む指摘といえるのではないだろうか。