「何もしない」というセキュリティ対策:ITproSecurityより

セキュリティ対策は，企業にとって欠かせないものです。それは間違いないでしょう。ただ，このごろ，「実はハイテクによるセキュリティ対策はあまり強固にし過ぎないほうがいいのではないか」と考えることがあります。というのは，次々に登場してくるセキュリティの脅威が，対策をすり抜けるように工夫され，検知・防御が一層困難になるからです。だったら高度な対策を講じなければ脅威の進化も止まるのではないか，という考えです。

現実には，そんなわけにはいかないでしょう。今目の前にある脅威に対処しないわけにはいきませんし，「守らなければ高度化しない」という考えそのものが正しいとは限りません。ただ，あまりにも急ピッチで高度化していく脅威に対し，対策側の取り組み方を見直す必要が出てくるのではないかと思っています。

よく言われる”何もしない”セキュリティ対策。

単にコストで考えれば、それもありかもしれない。

例えばセキュリティの考え方として、

１．何も発生しなければ、事前も事後もコストは必要ないと言う考え方。

２．何か発生してから事後対策として、コストを使うという考え方。

３．事は発生する前に対策を講じておこうという考え方。

この３つくらいが大方の考え方だろう。

セキュリティ専門家的には３を勧める。もちろんである。理由は簡単で事は必ず発生するもので、トータルコスト的に見ても一番安く上がるからからだ。

しかし、そのコストパフォーマンスを計るのは、どの尺度で計るのか？によって結果も変わる。企業イメージの失墜などは計りにくいものだからだ。

１の場合が何もしないと言う考え方。これも考え方としてはありだが、コスト面だけで計って良いのか？疑問に残ってしまう。これはわかっていても、知らずにいても、何もしないと言うことは一緒で、結果も同じである。

ＣＳＲ的に考えれば、１の場合はあり得ない選択肢になることは言うまでもない。

では２の場合はどうだろうか？これは１に次いで３よりも事前コストがかからない。一方で問題や事故発生時には、３よりもコストがかかり、コスト換算出来ない部分でのロスが多くなる。

セキュリティ対策を本気でしなければならない組織もある。国家や軍事、機密機関、行政など、民間では金融機関などが一般的だろう。セキュリティ対策のアッパーは限りなくあり、上限はない。

しかし、ある程度の対策は民間企業にも求められる必要不可欠なこと。

イタチごっことよく言うところは、上限がないからである。

このある程度の範囲と考え方で、その対策範囲は変わってくる。

日本語の良くも悪くも曖昧な部分の微妙な表現である、ある程度。

結局の答えは何処にもない。それは”ある程度”の範囲をどのように、誰が決めるのか？によって変わってくるからだ。

最低限のある程度・・・皆さんの企業ではやっていますか？

現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか？

ほとんどの企業において、情報セキュリティ教育のコンテンツは一巡しています。新たに知るべく脅威などもありますが、ほぼ新しいコンテンツはありません。

技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。

一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。

詳細はこちらへ