• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版

モノと道具を再構築する

2014.07.28

情報漏洩とコンピュータセキュリティについて考える

伊嶋 謙二

ホンネのITマネジメント

制度 個人情報 IT 信用 ノウハウ 危機管理 顧客 オーナー

セキュリティにお金を掛ける習慣がない企業

もはやパソコンでネットにつないでいることが当たり前の世の中で、常に企業のネットワークは誰かとつながって利用している。

便利であることこの上なしだ。しかし便利さと隣り合わせなのが、つながっていること故に、いろんなリスクが付いて回ることだ。

個人的に利用している場合、情報漏洩やパスワードの乗っ取りなどの被害は、自分の身の回りだけの限定的な範囲でとどまることが多い。まあ当人にとっては大きな実害が伴う可能性があることに変わりはない。

しかしこれが企業で起きると全く別の問題となる。一般的には企業でコンピュータセキュリティが甘かったことによりトラブルが生じた場合は命取りになる。

いわゆる社会的に信用のできない会社として広く知れ渡り、とてつもない代償を払うことになり、最悪の場合には企業生命の終焉ということになりかねない。

さて弊社は調査会社として多くの企業のコンピュータのセキュリティに関する調査を行っているが、特に中小企業と呼ばれる比較的小規模な企業で、情報システム担当者もごく限られた企業では、コンピュータに関するセキュリティは実に脇が甘いことが分かっている。

その理由は、セキュリティの重要性はある程度理解しているので、必要最低限は行っている。しかし緊急に対応が必要とは感じていないし、お金をかけるだけの余裕もないというのが一般的な傾向だ。総じてセキュリティへの優先度の低さが大きな課題といえよう。

ITに関して楽天的である理由

一方コンピューターベンダーなどは、ITシステムを販売した手前の責任上、セキュリティを企業全体として取り組むべきこととして提案しなくてはならない。

ユーザー企業の経営者はセキュリティは重要な課題という認識はあるものの、今後のセキュリティへの投資は、回収の見込みのない投資になるために、必要最低限にとどめたいと考えてしまう。現在は、より経営に直結する(効果がはっきりと分かりやすい)IT投資に目が向いている。

またセキュリティがないことでの恐さを認識していない。というのは、セキュリティ上のトラブルの経験がないので、事業停止の危機は自社には起こらない出来事と思っている面もある。

セキュリティ対応度合の高い会社は、経営側(組織として機能)がセキュリティにかかわっている場合である。言い換えれば、経営のコアビジネスとITが近い企業がセキュリティ対応が進んでいるということが明確になっている。それは「個人情報」をITとして利活用する割合が高い企業に特に顕著である。

それらの企業は、ITをツールとして使うというより「ITが企業の根幹を成している」という企業なので、セキュリティ対策は対応せざるを得ないということがいえる。そのためそのような企業は黙っていても自らセキュリティ対応するため、あまり問題はない。

また多くの企業はセキュリティ上での大きな事故とか失敗を経験していないために、保険のように、まさかのために備えて進んでセキュリティ対策を充実させるという動きにならない。

またBCPという観点から天災や火事などでのデータ消失という危険性についてもその意識を聞いているが、部分的に対応している場合もある一方で、多くは自分の会社には起こらない出来事として低い意識にとどまっている。

情報漏洩についていえば、性善説で捉えている企業が実は多い。自社には起こり得ないこととして、スルーしているとも思える。

物理的な障害や事故、天災もケーブルの引っ掛けや盗難防止は対応するが、災害は起こらないという楽観的な見方をしている。

東日本大震災をきっかけにITシステムの保全や保護には幾分動きがあったが、最近ではその危機感も薄れてきているようだ。次回は情報漏洩について述べる。

プロフィール

伊嶋 謙二 (いしま けんじ)

1956年秋田生まれ。矢野経済研究所でのIT産業の調査・研究業務に従事した後、1998年にIT調査会社ノークリサーチを設立し、代表取締役社長に就任。現在に至る。中堅・中小企業(SMB)市場のIT調査を得意とし、SMBのIT利用実態に詳しい。様々な関連業界誌で積極的な執筆も展開中。