ITスキルがあるだけでは情報セキュリティの専門家には不適格――情報セキュリティフォーラム(ISF) ハワード・シュミット会長
元ホワイトハウスのCSOから見た景気低迷下における企業の取り組み姿勢長い間、セキュリティ対策はIT部門の業務と見なされてきた。だが、この10年ほどで情報セキュリティの重要性が飛躍的に高まり、CSOやCISOと呼ばれるポジションを設ける企業が増えてきた。一方で、最近の深刻な不況に伴い、多くの企業がコスト削減を強いられている。米国の軍事・政府機関、さらにマイクロソフトやイーベイなどでセキュリティ責任者を務めたハワード・シュミット(Howard A.Achmidt)氏の目に、現在、情報セキュリティに対する企業の姿勢はどう映っているのだろうか。同氏が編集部主催のコンファレンス「THE SECURITY INSIGHT 2009」の講演者の1人として来日したのを機に、忌憚のないところを聞いた。
景気が低迷しているときは
セキュリティ投資も削減すべきか
――「情報セキュリティに多額の投資をしているのに、いっこうにその効果が見えない。しかも、これまで大きな問題が発生したこともない。それなのに、今後も情報セキュリティに投資し続けなければならないのか」――最近、こういった声を耳にすることが多い。
不況で業績が低迷すると、それに歩調を合わせてセキュリティ・リスクも低下するわけではない。ISFの調査でも、経済状況に関係なく脅威は拡大し続けていることが明らかとなっている。そもそも、コスト削減の目的は余分なコストを省くことであって、必要なものまで排除するべきではない。安易に目先の利益追求に走らないことが肝要である。
自動車に置き換えて考えてほしい。いかにコスト削減に迫られても、自動車メーカーがシートベルトを取り除いたり、貧弱なブレーキに付け替えたりすることはないはずだ。なぜなら、シートベルトやブレーキは、搭乗者を保護するために不可欠なコンポーネントだからである。それと同様に、情報セキュリティは企業のビジネス活動において不可欠であり、両者を密接に連携させることが求められている。
――では、情報セキュリティとビジネス戦略を密に連携させるためには、具体的に何をするべきなのか。
現在、企業にはこれまで以上に「信頼」が求められている。情報セキュリティ・マネジメントやビジネス・プロセスがきちんと機能していることを証明することが求められているのだ。その要求は企業全体に対してであり、IT部門だけで対処できるわけではない。
例えば、セキュリティ侵害によって1億円の損失が発生すると想定されるとしよう。この場合、それを回避するための対策にいくらを投じればよいのかをIT部門だけで判断することはできないだろう。したがって、IT担当者とビジネス担当者、それにセキュリティ担当者を加えて話し合う必要がある。そして、想定されるリスクを分析し、それを回避するにはどの程度の投資が必要なのか、どのように運用していくのかを決定すべきである。
