セキュリティ経営~ポスト3・11の復元力

「セキュリティ」は年々進化を遂げている。その一方でクラウドなどのサービスが次々と誕生し、より便利となっている。「セキュリティ」と「利便性」という相反する要素存在する中で、その両方を叶えることも企業によっては行っている。

セキュリティの強化と効率化の両輪をシステム業界では常に追い求められたが、「3.11」では数々の安全神話が崩れ、セキュリティや効率化に隠されたリスクも浮き彫りとなった。「3.11」以後に起り、それ以後にも「福島第一原発」や「みずほ銀行」などの事件から、企業経営にあたり何が必要なのか。本書では「復元力」と定義して、セキュリティの観点からリスクや経営についての指針を提言している。

第1章「セキュリティ事件・事故の現実」
新聞を開くと「情報流出」や「セキュリティ」にまつわる事故・事件が後を見ない日が珍しいほどである。
本章では過去10年間のセキュリティ事故の事例から、「セキュリティ」にまつわる様々なリスクを浮き彫りにしている。自分の働いている業界も絡んでいるだけに看過できない所である。

第2章「企業経営のICT依存と全社的情報管理」
本章のタイトルに出てくる「ICT」は、「Information and Communications Technology(情報と通信の技術)」の頭文字を取った略称であり、銀行やインフラのシステムには不可欠のシステムである。
この技術の向上により、私たちの生活の中の利便性は劇的に向上した一方で、「みずほ銀行」のような事故を起こると、企業のみならず、私たちの生活にも波及することもある。
本章では昨年の春に起こった「みずほ銀行」の事故などを例に出しつつ、情報漏洩、もしくは「情報窃盗」の定義について論じている。

第3章「企業と情報セキュリティのガバナンス」
またも用語解説となってしまうが、本章にて紹介する「ガバナンス」は、

「統治のこと。『ガバメント』とは対照的な統治として位置づけられる。ガバメントは政府が上の立場から行なう、法的拘束力のある統治システムである。一方、ガバナンスは組織や社会に関与するメンバーが主体的に関与を行なう、意思決定、合意形成のシステムである。」「デジタル用語辞典」より)

である。そのガバナンスとセキュリティは似通っているように思えて、この2つでジレンマを起こしている。本章ではガバナンスの中でもスタンダードの部類である「コーポレート・ガバナンス」とリスクヘッジについて論じている。

第4章「グローバル化と情報セキュリティ」
企業のグローバル化が進んでおり、止まる所を知らない。それとともに情報セキュリティも叫ばれてきているが、海外進出にするに当たり、「文化の違い」によるセキュリティ意識にも違いが出てきている事実がある。
最近システム業界でも、海外に開発を委託するケースも聞くほどである。
本章ではグローバル化とセキュリティのジレンマを統計的な観点から浮き彫りにしている。

第5章「クラウドとBCP(事業継続計画)」
さて、本書の核心の一つである「東日本大震災」の話にクラウドと事業継続の話をセキュリティの観点から論じている。

第6章「プロセスの標準化と経営判断の原則」
私が勤めている業界では聞かない日のない「ISMS(情報セキュリティマネジメントシステム)」を取り上げている。話すのを遅れてしまったが、本書は情報セキュリティ大学院大学の方々が著している。いわゆる情報セキュリティのスペシャリスト養成機関である。
そのため「ISMS」に関しては、用語の解説だけではなく、適用に関する現状などISMSの概要書にない所まで突いている。

第7章「不確定性の時代と責任」
天変地異やサイバー攻撃などを複合して考えても、「情報漏洩は起こらない」、もしくは「セキュリティは万全」ほど信じられない言葉はなく、かつそれにまつわる「リスク」も避けられない。そういった中で個人や法人はどのような責任や対策を論じている。

本書では「復元力」を掲げているが、「危機管理」という部類に入るように思えてならない。「危機管理」というと天変地異などからどのようにリスクを回避できるか、というイメージを持たれるかもしれないが、セキュリティの世界でも同じような「危機管理」は大切である。その「危機管理」は避難訓練と同じように、様々なケースを想定した対策を構築することが、リスクを回避はできなくとも、リスクを減らすことができる。