セキュリティ対策はどこまで行えばいいのか：運用管理者のための知恵袋（3）

セキュリティ対策を実施する際に重要な課題となるのは、対象とする範囲をどう定義するかということだ。今回はセキュリティ対策の範囲を決定するプロセスを考える

　セキュリティ対策はどこまでやれば十分なのか。この問いに対しては、「会社の性質や事情がかなり異なるので一概にいえない」という答えが一般的である。ISMSやプライバシーマークを取得することもセキュリティ対策の一種だが、それらを取得することだけでセキュリティ対策が完了するわけではない。そこで今回は、企業においてセキュリティ対策の範囲を決定するためのプロセスについて考えてみたいと思う。

経営者の視点でセキュリティについて考える

　最初にセキュリティ対策の必要性を主張し始める部署は、会社によってさまざまである。情報システム部かもしれないし、法務部や総務部かもしれない。いずれにせよ、セキュリティ対策を実際に検討していく過程において、大抵はその対象が全社規模に広がり、最終的には経営会議にかけられることになる。

　経営会議では経営者の視点でセキュリティ対策の重要性が協議される。経営者としては、

「現在自社のセキュリティレベルとリスクはどの程度なのだろうか？」

「セキュリティ対策にはどのくらいの予算と時間をかけるべきなのだろうか？」

「セキュリティ対策を行うとどの程度リスクが軽減するのだろうか？」

といったことに関心があるので、企画書や提案書を書き上げる場合はこれらのことを押さえておく必要がある。

セキュリティ対策の目的とゴールを設定する

　セキュリティという用語がカバーする範囲は非常に広い。セキュリティ対策を考える前に、何のためにセキュリティ対策を行うのかを明確にしておかないと、いたずらにセキュリティという言葉に振り回されることになる。セキュリティ対策の目的としては例えば、

• 個人情報保護法をクリアする
• 顧客情報の漏洩を防ぐ
• 社内の機密情報が従業員に漏洩することを防ぐ
• ISMSやプライバシーマークなど第三者機関から認証を受ける

などがある。これら全てを対象とするのも良いが、対象範囲を極力制限していく方が、プロジェクトとしての成功率は一般的には高くなる。

ギャップ分析から対策の範囲と費用を考える

　セキュリティ対策の方向性が固まったら、次に理想のセキュリティ像と現状とのギャップ分析を行う。この作業は自社で行ってもよいが、豊富なノウハウを持つセキュリティコンサルタントの力を借りるのも良い考えである。

　ギャップ分析が終わると、セキュリティ対策の範囲と大まかな費用が算出できる。これらを企画書に盛り込み、経営会議でプランが最終的に承認されれば、あとはプランに沿って実行するだけである。

セキュリティ対策範囲の決定に関する私の経験

　以上が大ざっぱなセキュリティ対策範囲決定のプロセスとなる。ここでご参考までに、私の以前の経験を振り返ってみたいと思う。

　最初にセキュリティ対策を立てたとき、セキュリティ強化によってユーザの利便性が低下することが原因で、ユーザーから一斉反発を受けた。セキュリティが強化されると一般的に利便性は低下する。よってセキュリティを強化する上では、よほどの理由がない限り社内での支持は得られにくい。

　 そこで、経営陣からお墨付きをもらうことを目指すことにした。経営者の視点でセキュリティ対策を行う目的を仮決めし、それに合致するものを必須項目、合致しないが重要なものをグレー項目として企画書にまとめ、経営会議で発表した。必須項目に関してはすぐに承認され、グレー項目に関しても各項目ごとに議論してもらい、いくつかが承認された。こうして経営陣からのお墨付きを得ることで、ユーザーからの反発の問題を解決することができた。

　 また、セキュリティを検討する過程でセキュリティ対象となる事項が次々と洗い出されたことが原因で、セキュリティ対策の目的とゴールがなかなか決まらなかった。ミスコピーの放置問題から始まり、出入り業者管理、海外子会社との情報管理問題まで、ありとあらゆる問題が洗い出された。セキュリティ問題の場合、どれもリスク要素なので、議論をすればするほどセキュリティ対策の目的とゴールが焦点がぼやけていく。

　 そこで、各項目に優先順位をつけて、優先順位の低いものは思い切って捨てることで、この問題を解決した。

　 最後に、予算案の合理性がなかなか理解されず、経営陣からの承認を受ける作業が難航した。それなりに根拠のある予算案を作成したとしても、その予算案の客観的な合理性について評価することはセキュリティ専門家でも難しい。ましてやセキュリティ対策の費用対効果に対する合理的な説明は不可能に近い。

　 そこで、あくまでも目的に沿って一般的なセキュリティ対策を行うための費用としてこれだけかかり、その対策を行えば、少なくとも今回の目的については万が一何か問題が起こったときにも社会的に釈明できるという説明で解決した。

　これらの経験を振り返って思うことは、セキュリティ対策の目的が明確になったとたんに、それまで決まらなかったことが次々と決まっていくということだ。まずは大きなビジョンを描き、細部を詰めていくというプロセスがセキュリティ対策にも当てはまるということである。

何のためのセキュリティ対策か

　セキュリティ対策はどこまで行えばいいのか、という問いの前に、何のためにセキュリティ対策を行うのか目的を明確にすることが重要である。目的が明確であれば、社内の利害関係や予算獲得といった調整への糸口が開けていく。逆に、セキュリティ対策を行う目的が不明確なままセキュリティ強化を推し進めれば、社内の猛反発を受けるか、付け焼刃的なセキュリティ処置で終わるだろう。