「情報セキュリティ対策が企業価値を高める」
【Security Solution】「情報セキュリティ対策が企業価値を高める」??経産省の下田裕和課長補佐:ITproより
「企業にとって情報セキュリティ対策は,企業価値を高めるものだと評価されなければならない。そのための仕組み作りに積極的に取り組んでいく」??。経済産業省 商務情報政策局 情報セキュリティ政策室 課長補佐の下田裕和氏は10月25日,「Security Solution 2007」併催の「セキュリティ・ソリューションフォーラム」の基調講演で,経済産業省の情報セキュリティ対策の取り組みについて,こう説明した。
4つの柱で構成する経産省のセキュリティ対策
下田氏は続いて,目標達成に向けた経済産業省の情報セキュリティ対策について解説。(1)早期警戒体制の整備,(2)組織的対策の推進,(3)企業や個人への継続的な普及広報活動,(4)技術的対策の推進??の4つの柱からなる取り組みを説明した。
展示会で直接聞きたい話だった。結局行けずに・・・残念だった。
この4つの柱の中、私は特に(2)と(3)が重要であり、興味を持った。
この(2)組織的対策の推進は、相互牽制効果の働く仕組み作りであると考える。認証制度であるPマーク等も勿論重要であるが、実際にはどうだろうか?
無いよりも良いって程度ではないだろうか?どこかの肉まんやミンチと同じにするつもりはないが、評価制度があれば、本当に間違いないのだろうか?
食品に限らず、情報セキュリティにおいても同じこと。認証評価がすべてであると思いこんでいる方々が、どれほどたくさん存在し、それで大丈夫と思いこんでいることか・・・まったくお話にならない。
実際に、某大手印刷会社では認証制度を受けていた事実や、年間に百数十者の認証を受けた企業から情報漏洩が起きている。やはり無いよりも良いって程度でしかないのでは?
組織で頭でっかちの、本に書いてあることだけを棒読みし、なんちゃってマスターになっている方々を拝見する。
基礎は知っているが応用は出来ずに、自分のことは考え守るが、規則に書いてあるはずの根本を理解していないから、都合良く解釈する。まさにチェリーピッキングをしている。こんなところではチェリーピッキングしてはならないのだ。
(3)の企業や個人への継続的な普及広報活動は、どうだろうか?
先の(2)とも重なる部分は多い。ここでも、なんちゃってマスターの方々は、本質も解らずに、知識の詰め込み教育になっている。知恵に移行していない。だから応用が利かない。
もっと、この情報セキュリティ対策における本質を知らなければならないのだ。
じゃあ、本質は何だろうか?
ここで質問したい。コンプライアンスってどんな意味か?
法令遵守。。。なんて答えないでもらいたい。こんなの当たり前のこと。まぁ当たり前が出来てないこと、新聞を賑わす問題が多いこと。だから法令遵守なのだろうか?
コンプライアンスとは、語源であるコンプレイン(他人に嫌がられることはしない、喜んで貰える行動を行う)ことである。
間違っても、苦情などと考えないで欲しい。ホテル業界の用語っぽくなっているが、それだけではない。
言葉の定義もさることながら、もっと深い意味を考えて欲しい。情報セキュリティはコンプラ・・・って、キレイすぎて当たり前。
都合によって、定義も意味も変えている方々が多くいる。
じゃあ、自分だったら。。。そんなことはあり得ないのかもしれない。だからチェリーピッキングになってしまう。
漏れてからでは遅いのである。もっと現実にできる、身近に出来る簡単なことからはじめないと、続かないのだ。
今一度、本質を考えてみたい。
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。