セキュリティと言われましても……。
久富徹目次
セキュリティ事故における経営者の本音
東洋経済オンラインを読んでいたところ、セキュリティ対策の不備をつかれて個人情報を漏洩してしまった企業の経営者が戸惑う様子を記事にしたものを見つけました。この記事の最後のページに、「これが経営者の本音なんだろうな」と思われる発言があったため引用します。
被害経営者:こっちは素人だからオタクに全て任せていたんですよ。
システム会社:セキュリティに100%はないと伝えていたはずです。
引用元 サイバー被害に遭った経営者の告白、取引先→「大変申し上げにくいのですが…今まで一体何をしていたんですか?」各所の関係悪化に震えるリアル
「オタクに全て任せていた」、経営者の憤りの声音が伝わってきそうですね。
経営者の観点から事前にできたこと
情報漏洩という事故を起こしてしまった経営者は、余計な仕事が増えた、余計な仕事を増やしたのは誰だ、という気持ちになっているのかもしれません。しかし、自社にどのようなシステムがあり、そこにどのようなデータが入っているか、そしてどのような対策が行われているのかを定期的に報告させることはできたはずです。そしてそれをセキュリティ専門家に定期的にレビューしてもらっていれば、事故が起こる前に対策を打つことはできたのではないでしょうか。
会社に起きるすべての出来事は最終的には経営トップの責任となりますが、「餅は餅屋」ですから外部に依頼できる仕事は依頼し、経営トップとしては「預かっている情報の重要性の周知徹底、重要さに応じた対策をとり続けること」をリードしていくことができたのではないかと思わされました。
セキュリティ専門家のコストって? 救急車みたいにすぐに来てくれるの?
ところでこの記事の中で「デジタルフォレンジック調査に1000万円」という数字は出てきますが、セキュリティ専門家のコストには触れられていません。また、事故が起きてすぐに善良かつ優秀なセキュリティ専門家に依頼できているようですが、そのようなことは本当に可能なのでしょうか? 2025年現在、IT業界は人手不足が恒常的な状態になっており、優秀な人は常に仕事を抱えている状況です。セキュリティ専門家も同様の状況であることは容易に想像できます。また、運良く仕事を受けてもらえたとしても、一ヶ月数百万円の予算感であろうことも考える必要があります。例えば鎮火まで3ヶ月かかったら、フォレンジック調査とは別にセキュリティ専門家の人件費として1000万円弱の予算感は覚悟しておいたほうがよろしいかと感じています。つまり、最低でも2000万円、それに加えてセキュリティ対策を加えたシステム再構築のコストがかかります。構築されていたシステム規模によりますが、仮に1000万円(約10人月)だとして「1事故の対策ご予算=3000万円〜、かつ顧客の信頼を失う」と考えるとぞっとしませんか。
このような事態を避けるために個人的なおすすめは、セキュリティ担当者を自社で育成することです。特に顧客の個人情報を扱う場合は、金庫番と同様に「個人情報の番人」が必要です。現在、セキュリティのガイドラインとしてIPAの優秀なものがありますのでそれをベースに教育をしていくこともできますし、自社のセキュリティ専門家の育成をセキュリティコンサルタントに依頼することもできます。固定費の増加は経営者として気になるかもしれませんが、顧客の信頼を守りビジネスを進めるために、緊急事態が起きた時の1/3のコストをかけることは合理的な判断ではないでしょうか。
セキュリティ対策もプロジェクト管理が必要
幸いなことに事故を起こす前にセキュリティ専門家や担当者を獲得/育成できたとしましょう。早速自社のシステムをチェックしたところ、ヤバい順で改善点がレポートされます。それを見てあなたはどのように行動しますか? 「オタクに任せた」では、冒頭と同じシーンになってしまいませんか?
自社のシステムに対して先手を打ってセキュリティ対策を行うためには「何のために何を誰がいつまでにするのか」という管理が必要になります。現状のレポートを元に、セキュリティ対策プロジェクトをキックオフさせねばならないのです。既存の運用と現在進行中のシステム開発プロジェクトに対して、セキュリティ対策を差し込むためには、経営者のリーダーシップと明確な目的設定、そして複数のプロジェクトおよび関係者を調整しプロジェクトをドライブし続ける専門家が必要になります。例えばシステム開発ベンダーは、自社以外のセキュリティ専門家からの意見を「外野からの騒音」のように感じて「ウチのやり方で大丈夫なんです」と主張してくるかもしれません。そのような場合であっても経営者としてビジネスを推進させるために、セキュリティ対策を仕組みとして根付かせるために、プロジェクトマネジメントの成功もキーになってくることでしょう。