デジタルデバイドを解消し、セキュリティ対策に本腰を入れよ!
今さら、いや、今だからこそ、企業は改めてデジタルデバイド(情報リテラシー格差)の解消に取り組まなければならないと筆者は思います。デジタルデバイドというと、例えばPCや各種ソフトウェアを駆使できるとか、ネットやWebのさまざまなサービスを使いこなせるとかいったIT活用に、視点が行きがちです。そうではなくリスクマネジメント、セキュリティガバナンスの一環と捉えて取り組むべきであると考えるのです。
デジタルデバイドは、世代別(Z世代、ミレニアム世代とそれ以前も)、職種責任範疇別(IT部門、管理部門、現場など)などさまざまな原因や理由で生じます。放置すると業務面で支障が出かねませんから、多くの企業は研修や教育、ヘルプデスクの充実など各社各様のやり方で解消に取り組んでいます。
しかしリスクマネジメントを根幹として捉え、そのためのセキュリティガバナンスの基本を理解することについてはどうでしょう。通り一遍の、eラーニング講座を提供する程度に留まっているのではないでしょうか?ITがビジネスのための基幹プラットフォームであると改めて位置づけ、それらを保全することは今日、決定的に重要です。少なくともベンダー任せのセキュリティ対策にならないようにしなければなりません。
そのための取り組みとして、脆弱性診断(ペネトレーションテスト)、疑似メール訓練、啓蒙活動(セキュリティサーベイや定期的規範周知)などが実施されているはずでます。しかしグループ企業や関連会社、一部の提携先までは、なかなか行き届かない状況も散見されます。関連会社、取引関係先の情報環境を把握することも含めて、きちんと実施するのは難しいようです。
攻撃側はこの部分を見逃しません。万一、セキュリティ被害(インシデント)に遭遇するとステークホルダー全般(特にお客様)に多大な損失を及ぼします。適切な情報開示も求められます。これを避けるために、グループ企業や協力会社などを含めてセキュリティガバナンスを浸透させるにはどうしたらいいでしょうか。
エンドポイント管理やIT環境の衛生(ハイジーン)管理、「何も信頼しない」を前提に対策するゼロトラスト、セグメント分離などマルチレイヤー、オーケストレーション的な対応などがあります。加えてセキュリティ対策では、AI(セキュリティエンジン)やSOAR(セキュリティのオーケストレーションと自動化によるレスポンス)といった技術も進化しています。しかし、これらの対策を導入する場合、コストや内容把握に留意が必要です。一方で「セキュリティ・リスク・ガバナンスは性悪説で対策を!」とソリューションベンダーは説いてきますし、それは一面の真理ですが、やり過ぎると利便性が阻害されます。
利便性を担保しつつガバナンスを維持するにはどうするか? 日々進化する攻撃者(組織的になってきています)に対応する完璧な答えはありませんし、各種のソリューションやツールによる手立てだけでは不十分です。人が介することを認知、理解しておかなくてはなりません。だからこそセキュリティガバナンスの取り組みの一環として、デジタルデバイドを最小限することが大事なのです。
そのためにはシミュレーションやテストを頻繁に実施し、コミュニケーションパスをプロアクティブに作成、更新することが必要です。具体的には常設インシデント対応タスクチームを構築するのも1つです。啓蒙活動の一翼も担えます。
もう1つ、攻撃を受けた際に迅速にリカバリーをする方策を常に準備することも欠かせません。バックアップ対応は当然ですが、状況によってディザスタリカバリー(DR)ソリューションを検討するのもいいでしょう。クラウドベースの場合には、以前よりはハードルは高くないと思います。
これらを進め、配備するにはセキュリティ投資が不可欠であると同時に、実際のインシデント事例を収集・共有することが重要かつ前提になります。アナログ的な表現を許していただければ、万が一を常に考え、“前向きに常に恐れる意識”を刷り込むわけです。経常的に意識づけ(可視化した情報共有)を継続する環境構築がデバイドを縮める上で必要であると考えます。
まとめると、可能な限りのシステム環境対策をしつつ、関係者全員の意識改革(リテラシー向上)を継続し続ける。それからトップマネジメントとの密なコミュニケーションと情報共有も必要です。これがセキュリティガバナンス、リスクマネジメントのベースラインになります。
最近、「経済産業省:情報セキュリティ経営ガイドライン(改訂版)」、中小企業向けセキュリティガイドラインなどの話を聞かなくなりました。IT導入補助金申請にはセキュリティアクションの宣言が必要ですので「情報セキュリティ 5か条」は認知されているかもしれませんが、行政サイドとしては必要な手を打ったし、警鐘も鳴らしているといったところでしょう。
話題にならなくなった時が一番危険です。事実、警察庁の調べによると2020年下期と2022年下期を比べた時、ランサムウェア被害の報告件数は5倍以上に増加しています。原因の相当数が取引先などのネットワーク脆弱性によるもの。こうした状況を勘案すると、今こそ改めて経営層、責任者層と話し合う時です。そしてデジタルデバイド縮小が加速される事を期待しています。
最後にもう一言。ダーウィンの進化論は「唯一生き残ることができるのは、変化できる者である」と指摘していますが、そこから比喩的に「生き残るのは変化できる者ではなく、運が良かった者」と指摘する向きもあります。運は環境状況に影響されますから、改めてプロアクティブに見直し、前向きに、常に怖がることが必要だと確信しています。
筆者プロフィール
引地 久之(ひきち ひさゆき)
1980年、米デジタル・イクイップメント(DEC)日本支社入社。物流、情報システム(受発注、配送手配システム)に関わり、マネジメントレポーティング、本社へのデータディスパッチ責任者を務める。94年にコンパック・コンピュータのIT部長としてPC展開からSAP R3導入に携わる。タンデム・コンピュータ(1997年)、DEC(1998年)買収に伴うシステム統合対応日本責任者。2002年、HPとコンパック合併に伴うグローバルシステム統合対応日本責任者。その後、IT本部長、東アジア地区情報システム兼務。2008年、日本たばこ産業のIT責任者として赴任、CIOグローバル・オフィスとして、情報システム部門グローバル一本化推進。デジタイゼーション(Office環境のアドレスフリーや次世代ネットワーク)、SAP R3~S4/HANAシステム/ペーパーレス化(Concur, Ariba含む)、アセット管理等)推進。節目をもって2021年9月に退任。趣味はウォーキング、料理、掃除。現在、母の介護に専念。