相次ぐ大規模な情報漏えい事故の影響もあり、企業のセキュリティに対する関心はますます高まっている。しかし、一口にセキュリティと言っても、その対象分野/対応技術は多岐にわたる。"ここまでやれば大丈夫"という明確なゴールはないため、堅牢性を追求しようと思えば際限なく続いてしまう状況だ。特に予算の限られる中堅・中小企業においてはその見極めが難しく、「果たしてどこまで投資すべきか」と頭を悩ませている方も多いのではないだろうか。

そうした管理者の皆様にヒントを提示すべく、弊誌は6月22日(水)に「2011Webセキュリティセミナー」を開催する。ここでは、その中で「Webシステムのセキュリティリスクの推定と対策投資の考え方」と題する講演を行う大谷氏に、セキュリティの投資対効果のポイントについて語ってもらった。

プロフィール

大谷 尚通(OHTANI Hisamichi)


NPO 日本ネットワークセキュリティ協会 セキュリティ被害調査WG リーダ。CISSP。

NTTデータで各種のセキュリティシステムの研究開発やコンサル等に従事。JNSAでは、情報漏えいによる被害や情報セキュリティインシデントの発生確率の調査や被害の定量化について調査活動中。

6月22日に開催される「2011 Webセキュリティセミナー」にて講演予定。

現場や上層部から協力を得るにはリスクの定量化が不可欠

人的側面による情報漏えい事故の発生確率は社員数に、被害額は売上高に比例する。それらを定量化することで、はじめて経営者は定常的な対策費用を計上できるようになる――これは大谷氏の持論だ。

「従来は、こうしたリスクへの対策を施そうとしても、セキュリティ担当者が経営者をはじめとする企業の上層部を説得することが難しかった。それは、具体的な想定被害額や発生確率がわからなかったからだ。しかしながら、我々の調査結果から定量化のモデルを示せるようになれば、経営者もどこにどれだけ投資をすれば最大の効果を上げることができるのかがわかるようになる」と大谷氏。

そしてこうしたリスクの定量化は、実際にバックオフィスの業務を遂行する現場のスタッフのセキュリティ意識を高めるためにも欠かせないものである。誰でも自分たちの仕事のやり方を変えるというのは抵抗があるものだ。セキュリティのために業務プロセスを変えなければならないとなれば、どれだけ危険が潜んでいるかという具体的な数値を示して説得することは大きな効果がある。

大谷氏は主張する。「現場のスタッフの意識改革が最大のセキュリティ対策と言っても過言ではない。小さなセキュリティインシデントを日ごろから抑えることが大きなインシデントを防ぐことにもつながる。そのきっかけとなるのが数字。彼らが事故の発生確率やその結果起きる被害金額を理解していなければ、どんなに立派なセキュリティポリシーを作成しても実際にそれを回していくことはできないだろう」

現場のスタッフの意識改革を促すには、こうしたセキュリティに関する現状把握に加えて、職場の文化を変えることも大きな効果がある。それは、悪い情報も積極的に報告できるような文化である。その際、小さなミスについては罰則を設けずにとにかく事実を知らせることを推奨するような配慮も必要となるだろう。

忘れられがちな"裏側"のセキュリティ対策

大谷氏らは、リスク定量化への取り組みの一環として、事故の発生確率を調べる調査を定期的に実施している。そこでわかったことの1つに、電子メールやFAXにおけるセキュリティインシデントの発生確率の高さがあるという。

5000人近いビジネスマンを対象に調査を行った結果、会社員が1年間に紛失・盗難、誤送信を行う確率は、携帯電話約6.5%、PC約3.5%、USBメモリー約4.5%、電子メール約40%、FAX約40%であったという。とりわけ数値が高いのが電子メールとFAXだが、その大半が誤送信によるものだった。

大谷氏は言う。「サーバやネットワークなどWebの"表玄関"のセキュリティ対策と違い、内部の人的側面でのセキュリティについては、対策を講じた分だけリスクをゼロに近づけられるというものではない。なぜならば人間はどうしてもどこかでミスをおかしてしまうものだからだ。もちろん、高機能な情報漏洩対策ソフトを導入すれば防げる確率は高くなる。しかし、当然ながら、そこには相応のコストも必要になる。だからこそ、セキュリティインシデントの発生確率と想定被害金額を算出したうえで、投資対効果に基づいた対策を施す必要がある」

今や、ネットワーク/システム面のセキュリティ対策に関しては、不備があれば責められて当然というほど浸透してきた感がある。しかし、その裏で、電子メールやFAXといった旧来のコミュニケーションツールから漏洩することが多いというのは興味深い話。セミナーでは、そういった知られざる事実もいくつか披露される予定だ。

情報公開は迅速かつ正確に

では、万が一に情報漏えい事故が発生した場合にはどのように対応すればいいのだろうか。その問いに対する大谷氏の答えは次のようなものだ。

「影響を受けるユーザへ、迅速に説明を行うこと。その際には、ユーザーへどのような被害がおよぶ恐れがあるのか、漏えいした個人情報がダイレクトメールやクレジットカードの不正利用に使われる可能性があるのかといった二次被害への注意も伝えることが大事。絶対にしてはいけないのが情報公開をまったくしないことだ」

同氏によると、情報漏えい事故発生後の情報公開を適切に行えば、場合によっては企業のブランドを落とすどころか高めることすらあるという。

以上、ここではセキュリティの基本的な考え方や情報漏洩の現状を簡単に紹介した。6月22日に開催される『2011Webセキュリティセミナー』では、調査結果を引用しながら、リスクの定量化方法や適切な投資額の割り出し方などを具体的に解説する予定である。場当たり的にセキュリティ対策に陥ってしまっているようなシステム管理者には、ぜひとも聞いてほしい講演だ。