「その場しのぎの穴埋めでは力不足」――経営に結実しない日本企業の情報セキュリティ対策（1/2 ページ）

情報セキュリティへの対応が経営に欠かせない要素として求められている。日本企業がこれまでに従事してきたその場しのぎの対策では力不足のようだ。

　違反されているソフトウェアの使用や持ち出しPCの盗難など、従業員の脇の甘さから企業内の情報は簡単に漏えいする。そうした事態が頻発しているせいか、企業の外部からはリスクマネジメントやコンプライアンスへの要望が日増しに強くなっている。

　4月には、コーヒーチェーン大手の従業員が出張でPCを社外に持ち出し、置き引きに遭うという事件が起こった。上司の許可があれば従業員はPCを持ち出すことができたという。同社はPCを持ち出した従業員について処分を検討するとコメントした。漏えいが起こる前に十分な対策はなされていたのだろうか。

　従来は特定の分野や製品に詳しい専門家がいればセキュリティの問題は解決した。しかし情報漏えいの経路が多岐にわたるにつれて、その場しのぎの対応では事足りなくなっている。

　「脆弱性に対応した製品の購入や解決策をベンダーに丸投げするなど、日本企業の多くは受け身の対策にとどまっている」――こう述べるのは（ISC）2Japanの衣川俊章代表だ。衣川氏は4月24日に開催されたセキュリティイベント「RSA Conference Japan 2008」において、これらの問題に警鐘を鳴らし、情報セキュリティが置かれた現状を踏まえながら対策について説明した。

「経営の舵取りをする中で、情報セキュリティ全般への理解が必要となっている」と述べる衣川氏

　「今や情報セキュリティ対策と経営は直結している。対策をしているか否かで企業の価値やイメージも決まってくる」と衣川氏は言う。情報漏えいなど企業のミスが続く中、1つの不祥事で企業の信用は簡単に失墜する。情報セキュリティの確保と企業経営は切っても切り離せない関係になっている。

　（ISC）2Japanが世界の情報セキュリティ業務従事者7548名に実施した調査で、それが浮き彫りになった。ここでは、情報セキュリティが経営や日常の業務に影響するという回答が全体の約7割に上った。

　また情報セキュリティは「経営層に直結している」という回答が2007年の調査では23％、2008年では33％を占めた。これらはいずれも2006年までは目立たなかった回答だという。

情報セキュリティが経営に影響するという回答が増加している