去る4月20日、セキュリティ・ソリューション・フォーラム2004が、東京の目黒雅叙園で開催された。同フォーラムは、セキュリティの最新情報を企業向けに提供するイベントで、日経BP社が毎年主催している。

今回は、情報漏洩事件の多発や個人情報保護法の影響もあり、600人の定員に対し応募が殺到。当日は定員を大きく上回る800人が参加し、一部立ち見が出るほどの盛況ぶりだった。

フォーラムの基調講演として、KPMGビジネスアシュアランスのIRM事業部マネージャー、山本直樹氏による「情報セキュリティ対策適正化のありかた」と題した講演が行われた。本記事では同講演の模様をレポートする。

●個人情報漏洩事件のトレンド

基調講演は、頻発する「個人情報漏洩事件」の背景を探るところから開始された。

昨年から今年前半にかけて、個人情報漏洩事件が頻発している。特に今年に入ってから公官庁、プロバイダ、小売業など、業種や事業規模などに関係なく、毎日のように漏洩事件が取り沙汰されているのは周知の通りだ。

このような背景に対して山本氏は、個人情報保護法の本格施行にあたり、マスメディアが企業の動向に注目している点にくわえ、「企業における管理態勢の構築が進んでいる証拠ではないか」と分析しているという。

山本氏によれば、「漏洩事件の発生件数そのものが急激に増加するとは考えにくい。むしろすでに発生している個人情報漏洩を企業自らが発見する仕組みが整備され、公表されるケースが増加しているのだ」という。

同氏は、「事故は起こしていないが、情報管理に問題がある企業」と「実際に事故を起こしてダメージを被ったが、その後の改善により高水準の内部統制を構築した企業」と企業の一例を示し、どちらが長期的に見て評価されるか考えてみてほしい、と会場に問いかけた。同氏は「答えはない」としながらも、「短期的には後者の方がダメージが大きい。長期的に考えた場合、どちらが良いのか考えてみてほしい」と提起している。

●静的対策のキーワードは「ワリキリポイント」

各企業は、情報セキュリティをどのように管理していくべきか大きな課題を突きつけられている。山本氏は、事前にセキュリティ対策を施す「静的な管理の仕組み」と、実際に事件発生時にどのように対処するのかあらかじめ計画しておく「動的な意志決定の仕組み」を紹介した。

さらに同氏は、今回の講演で聴講者の理解を深めるために独自のキーワードを掲げた。それが「静的な管理の仕組み」の中で重要となる「ワリキリポイント」だ。

セキュリティ対策は、多種多様であり、企業として具体的な対策範囲を設定しなければコストが無限に発生してしまう。そこで重要となるのが、セキュリティ対策の上限「ワリキリポイント」だ。

企業リスクを分類すると「許容可能なリスク」「低減すべきリスク」「回避すべきリスク」「移転すべきリスク」の4種類に分類される。たとえば、許容可能な部分に対し、全くリスク対策を施さないことも「ワリキリポイント」のひとつだ。一方「低減すべきリスク」では、自社の情報管理を照らし合わせた上で、具体的な「ワリキリポイント」を決定していけば良い。

また、セキュリティ対策の導入にあたっては、最初から完璧に導入することは不可能なので、「継続的に進めること」が有効だと山本氏は語った。また導入時の責任や対策について「誰が何をすべきか」という点で具体的に決定しておくことが重要だと解説している。

さらに、一度セキュリティの方針を決定した場合でも、セキュリティの常識はつねに変化してしているため、柔軟な対策が求められていることを指摘した。「今後、求められるセキュリティレベルが現在より低くなることは考えにくい。業界や委託先、グループ会社など環境を加味しがら定期的にリスクアセスメントを行って行く必要が出てきている」（山本氏）

●漏洩事件のリスクは必ず存在する。だからこそ「動的な意志決定システム」

山本氏によれば、最近では「静的な管理の仕組み」より、むしろ「動的な意志決定の仕組み」に注目が集まっているという。「人間は完璧ではない。情報は必ず漏洩する」「企業の不祥事を隠し通すことは不可能」など、これら山本氏の指摘は、誰もが実感している部分ではないだろうか。

そこで同氏は「動的な意志決定システム」の必要性を強調する。事故発生時の対応や対応方法、対外コミュニケーションの方法についての基準を元に同システムが運用される。

具体的には、「発見すべき具体的なリスクの把握」や、「直属の上司への報告」「ホットラインの設置」といった報告経路の設定などの用意だ。また、内部統制を確立する手段として最も効果的な手段のひとつ「内部監査」の導入を山本氏は提案している。

米国では内部監査部門は強い権限が与えられているとともに、幹部候補の登竜門とされている現状を紹介。内部監査部門は、会社全体の業務を把握できるのと同時に、同部門を経験することで、心理的に違法行為を行いにくくなるという。また、日本でも内部監査部門に関する重要性の認識が高まってきていると報告した。

●企業は情報を保護するだけでいいのか？

山本氏は「リスク」が「企業が目標を達成する課程における不確実性」である点を強調した。つまり、企業活動の中で「必ず存在する」ということだ。

セキュリティ対策といえば、企業はこれら不確実性を可能な限り制御し、負の結果を最小化する「ダウンワードリスク」のマネージメントに集中してしまいがちだ。しかし、同氏は、そのような対策が組織内に閉塞感を生む原因になると指摘した。

同氏は、不確実性を制御し、正の結果を最大限に実現する「アップワードリスク」のマネジメントが重要だと述べ、自社との関係者との利害関係を分析した上で各関係者間で情報を共有することが企業の競争力強化に繋がるとのべ、基調講演を終了した。

日経BP社
http://www.nikkeibp.co.jp/index_j.shtml

（Security NEXT - 2004/04/27 ） ツイート

PR

関連記事

全校生徒の名簿データを第三者へメール誤送信 - 大洲市
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
物流検品システムなどまもなく復旧、物量制限は解除へ - ランテック
コミュニケーションサポーターのメアド流出 - 茨城県国際交流協会
ランサムでシステム障害、配送遅延など影響 - センコーグループ子会社
職員が顧客情報をUSBメモリで持出、日次確認で判明 - 一関信金
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
スポーツグッズ通販サイトで個人情報流出か - 不正プログラムや改ざんを確認
ランサム攻撃で暗号化被害、公共工事のデータも - 松永建設
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開