エンタープライズ・データを守れ

担当者が負担に押しつぶされず、企業にとって価値のある情報を保護するために

（2007年10月02日）

自己診断の危険性

　エンタープライズ・ストラテジー・グループ（ESG）は先ごろ、大企業への聞き取り方式で、「エンタープライズ・セキュリティに関する調査」を実施した。7月下旬に公表された調査結果によると、調査に協力した大企業102社のうち3分の1が、過去1年以内に機密データの漏洩があったことを認めている。

　また、回答者の58パーセントが、機密情報に対する最大の脅威はインサイダーによる悪意または不注意に起因する情報漏洩であるとして、外部の攻撃からネットワークを守るだけにとどまらない包括的なセキュリティ・プロセスの必要性を訴えている。

　ESGのアナリストで、上の調査リポートを作成したジョン・オルトシク氏は、「機密データや知的財産の確認、保護、分類に関する問題を、人々が認識し、それなりの努力と予算を投じようとする意思を持ち始めたことは、グッド・ニュースだ。

　しかしながら、その一方で、情報漏洩を防ぐ手段が、いまだにマニュアル・プロセスに依存しているのも事実だ」と指摘する（なお、調査はデータ保護技術ベンダー、レコネックスをスポンサーとして行われた）。

　続いて同氏は、「多くの企業が、十分な対策をとっているとの自信を抱いているようだ。だが、データ侵害の痕跡やセキュリティ・プロセスの欠陥が次々に明らかになっていることからすれば、そうした自信のほとんどは幻想にすぎない」と切って捨て、こう分析してみせる。

　「実際に、どのようなタイプのデータが従業員のデスクトップやファイル・サーバに保管されているかを見せてやれば、多くの企業は問題の大きさに驚愕するはずだ。そうした問題を抱えている企業に共通しているのは、部門間の協調性が欠如しているということだ。セキュリティは、IT部門だけの問題でもなければ、法務部門、あるいは事業部門だけの問題でもない。人々が全社的な問題だと認識しないかぎり、状況が改善することはないだろう」

　現在、こうした問題の解決に携わっているITコンサルタントたちは、「超優良企業と呼ばれる会社でさえ、データ・セキュリティ問題の全体像を把握するのに四苦八苦している」と証言する。

　大企業が管理する情報は、近年、爆発的な勢いで増加しつつあり、SOX法（米国企業改革法）やHIPAA（医療保険の相互運用性と説明責任に関する法律）などの成立が、その傾向にさらに拍車をかけている。そしてそれに伴い、企業には、この問題を真正面から見据えて、オペレーションに真の視認性を確立する必要性が出てきた。

　ITコンサルティング会社、ジェトロニクスで上級情報リスク・ストラテジストを務めるスティーブ・スーザー氏は、この状況に、「企業の多くは、いざとなれば高度なセキュリティ技術を適用すれば済むと強気だが、オペレーションの視認性を高めるツールの購入予算さえ十分に用意していないのに、果たしてそんな芸当が可能なのだろうか」と、警鐘を鳴らす。

　スーザー氏は、ジェトロニクスに入社する前はクレジットカード大手のアメリカン・エクスプレス（アメックス）で情報セキュリティ管理ディレクターを務めていた。当時の同氏にとって、データ・セキュリティは「巨大な問題」だったという。アメックスの情報や記録にアクセスしてくる数百万社の加盟店と円滑にビジネスを展開しつつ、顧客ならびに社内の情報を保護しなければならなかったからだ。

　確かに、ビジネス・パートナーを監視するのは非常に難しい。「情報リスク管理プログラムを強制するのが最も困難な領域の1つは、間違いなくサード・パーティだ。たとえ企業が社内で効果的なビジネス・プロセスを立案し、その管理体制を構築することができたとしても、重要なデータに接触することが可能なサード・パーティのプロセスまで詳細にチェックすることはできない」（スーザー氏）からである。

前のページへ < ｜1｜2｜3｜4｜ > 次のページへ