昨年も、サイバー攻撃による企業の情報漏えい事故が国内外で相次ぎ世間を騒がせた。経営情報、顧客の個人情報、その他の機密情報が、悪意のもとで漏えいしてしまった際の企業が被る被害の大きさについては今さら語るまでもないだろう。一方で、このような脅威に直面する企業のセキュリティ意識も年々高まってきている感じがする。ほとんどの国内企業では、アンチウイルスやファイアウォールといった最低限のセキュリティ対策は実施しているはずだ。しかし、脅威が複雑化・複合化するのに伴い、セキュリティ対策の手法やツールも多岐にわたっていることから、多くの企業では“何を”“どこまで”やればいいのか、日々頭を悩ませていることだろう。

そこで、こうした課題解決の糸口をつかむべく、NTTデータのシニアエキスパートで、日本ネットワークセキュリティ協会の一員でもある大谷尚通氏に、企業が情報漏えいを防ぐために必要となる考え方について話を聞いた。

大谷尚通氏が講演を行う「本当の優先順位を探る!マルチデバイス時代の情報漏洩対策セミナー」の申し込みはこちら
(参加費無料、3月5日水曜日開催、東京・竹橋)

情報漏えい事故の発生率と想定被害額を判断基準に

株式会社NTTデータ 品質保証部 情報セキュリティ推進室 NTTDATA-CERT シニア・エキスパート 大谷尚通氏

日本企業にとりわけ見受けられがちな情報漏えい対策の問題点は、「セキュリティに対する考え方の柔軟性の乏しさが、業務のスムーズな流れを妨げがちになることだ」と大谷氏は挙げる。

「社内情報やノートパソコンの持ち出し禁止など、なんでもかんでも一律禁止にしてしまうと、営業担当者などは仕事が成り立たなくなる。そこで、例えば外出の多い営業部門にはスマホの導入やノートパソコンの持ち出し、営業に関係する社内情報の持ち出しを許可するが、社内での業務が中心の企画経営部門にはスマホを導入せず、絶対に漏えいしてはいけない経営情報や知財情報、顧客情報などを守るために厳しく対策する、といったように対策レベルの色分けが必要だろう。まずは現場の声に十分に耳を傾ければ、業務を円滑に行えて、かつ最低限のセキュリティを担保できる合理的な対策レベルを探しだせる」(大谷氏)

そこで大谷氏が推奨しているのが、リスクを定量化したうえで費用対効果の観点から情報漏えい対策に取り組むことである。

「この辺りも日本企業のセキュリティ担当者が苦手とするところ。情報漏えい事故が起きてしまった後の被害額を割り出すことはできても、事故の発生率や具体的な想定被害額についてはどう計算すればいいのかわからないという声をよく聞く。しかし、過剰にならずに不足のない情報漏えい対策を実現するためには、情報漏えい事故の発生確率と想定する被害額をあらかじめ算出しておくことは欠かせない」(大谷氏)

米国の上場企業では、セキュリティ対策のコストと、セキュリティインシデントが発生した際にはその被害額の公表が義務づけられているという。こうした情報は投資の判断材料にもなっているなど、セキュリティとコストの関係性を考える文化が根付いているとも言える。

「セキュリティは企業にとって品質の一部」という認識を

もう1つ大谷氏が懸念するのが、適切な情報漏えい対策を行っている企業とそうでない企業の差が拡がりつつあるということだ。

「情報漏えい対策を一度実施しただけで、止まってしまっている日本企業がかなり見受けられる。社内で大きな情報漏えい事故が起きていないから、もう対策のための予算を減らしていい、と考えているとしたら大いに問題だ。新しい攻撃や新しいリスクがどんどん出てきているので、日々その情報に気をつけていなければ社内で事故が起きていることすら気づかない。例えば昨今ではBYODをはじめとしたモバイルデバイスの業務利用が新たなリスク要因になっていることも忘れてはならない」と、大谷氏は主張する。

情報漏えい対策に関する企業間のこうした“格差”には、トップの感心の度合いが大きく影響しているという。

「経営層を中心に、セキュリティは“別物”だという意識がまだまだ根強い。だが、セキュリティもまた企業にとって品質の一部だという考え方を持つようにしてほしい。そうすれば、自ずとセキュリティ対策にかけるべきコストも見えてくることだろう。製品やサービスの品質は企業の競争力に直結するということは、経営層であればよく理解しているはずだ」(大谷氏)

以上、ここでは情報漏えい対策に関して大谷氏の見解のごく一部を紹介した。具体的な手法、とりわけリスクの定量化とセキュリティ対策の費用対効果を考えるうえでの算出式などについては、2014年3月5日に開催される『本当の優先順位を探る!マルチデバイス時代の情報漏洩対策セミナー』での大谷氏の講演の中で詳しく解説が行われる予定だ。無駄なコストをかけずに自社にとって必要十分な情報漏えい対策を行うためにも、ぜひとも当日の講演に耳を傾けていただきたい。

大谷尚通氏が講演を行う「本当の優先順位を探る!マルチデバイス時代の情報漏洩対策セミナー」の申し込みはこちら
(参加費無料、3月5日水曜日開催、東京・竹橋)