【Security Solution】「情報セキュリティ対策が企業価値を高める」??経産省の下田裕和課長補佐ITproより

「企業にとって情報セキュリティ対策は,企業価値を高めるものだと評価されなければならない。そのための仕組み作りに積極的に取り組んでいく」??。経済産業省 商務情報政策局 情報セキュリティ政策室 課長補佐の下田裕和氏は10月25日,「Security Solution 2007」併催の「セキュリティ・ソリューションフォーラム」の基調講演で,経済産業省の情報セキュリティ対策の取り組みについて,こう説明した。

4つの柱で構成する経産省のセキュリティ対策

下田氏は続いて,目標達成に向けた経済産業省の情報セキュリティ対策について解説。(1)早期警戒体制の整備,(2)組織的対策の推進,(3)企業や個人への継続的な普及広報活動,(4)技術的対策の推進??の4つの柱からなる取り組みを説明した。

展示会で直接聞きたい話だった。結局行けずに・・・残念だった。

この4つの柱の中、私は特に(2)(3)が重要であり、興味を持った。

この(2)組織的対策の推進は、相互牽制効果の働く仕組み作りであると考える。認証制度であるPマーク等も勿論重要であるが、実際にはどうだろうか?

無いよりも良いって程度ではないだろうか?どこかの肉まんやミンチと同じにするつもりはないが、評価制度があれば、本当に間違いないのだろうか?

食品に限らず、情報セキュリティにおいても同じこと。認証評価がすべてであると思いこんでいる方々が、どれほどたくさん存在し、それで大丈夫と思いこんでいることか・・・まったくお話にならない。

実際に、某大手印刷会社では認証制度を受けていた事実や、年間に百数十者の認証を受けた企業から情報漏洩が起きている。やはり無いよりも良いって程度でしかないのでは?

組織で頭でっかちの、本に書いてあることだけを棒読みし、なんちゃってマスターになっている方々を拝見する。

基礎は知っているが応用は出来ずに、自分のことは考え守るが、規則に書いてあるはずの根本を理解していないから、都合良く解釈する。まさにチェリーピッキングをしている。こんなところではチェリーピッキングしてはならないのだ。

(3)の企業や個人への継続的な普及広報活動は、どうだろうか?

先の(2)とも重なる部分は多い。ここでも、なんちゃってマスターの方々は、本質も解らずに、知識の詰め込み教育になっている。知恵に移行していない。だから応用が利かない。

もっと、この情報セキュリティ対策における本質を知らなければならないのだ。

じゃあ、本質は何だろうか?

ここで質問したい。コンプライアンスってどんな意味か?

法令遵守。。。なんて答えないでもらいたい。こんなの当たり前のこと。まぁ当たり前が出来てないこと、新聞を賑わす問題が多いこと。だから法令遵守なのだろうか?

コンプライアンスとは、語源であるコンプレイン(他人に嫌がられることはしない、喜んで貰える行動を行う)ことである。

間違っても、苦情などと考えないで欲しい。ホテル業界の用語っぽくなっているが、それだけではない。

言葉の定義もさることながら、もっと深い意味を考えて欲しい。情報セキュリティはコンプラ・・・って、キレイすぎて当たり前。

都合によって、定義も意味も変えている方々が多くいる。

じゃあ、自分だったら。。。そんなことはあり得ないのかもしれない。だからチェリーピッキングになってしまう。

漏れてからでは遅いのである。もっと現実にできる、身近に出来る簡単なことからはじめないと、続かないのだ。

今一度、本質を考えてみたい。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサーオルタナティブ・ブログ
日々起きる目の前の「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て、考えるように意識しています。 人の「こころ」に興味を持ち、仏教と密教からヒントを得るべく現在研究中。