中小企業サイバーセキュリティ対策関連の情報の備忘録

CyberSec diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

【ニュース】「セキュリティが最重要」って騒ぎすぎ、そんなわけないでしょ!

「セキュリティが最重要」って騒ぎすぎ、そんなわけないでしょ!
http://itpro.nikkeibp.co.jp/atcl/column/14/463805/100600108/

これは、中小企業に限ったことではありませんが、セキュリティ対策が重要と意識しすぎて、ITを活用させないことがセキュリティ対策として行動してしまう中企業、公的機関の組織体質の典型で、セキュリティ対策の普及啓発をすることが困難な組織だと思います。

こういう経営者、IT担当者に対して、
「新しいビジネスを展開するためにITを活用する。そのためにはリスクに応じた的確なレベルのセキュリティ対策が必要。セキュリティ対策のためにITを活用しない方向に進むのは本末転倒。」
ということを普及啓発することが重要と思っています。


以下、記事の引用です。

・確かにセキュリティは重要だが、一番重要なことはITを使って新しいビジネスを創り出したり、既存のビジネスモデルを刷新したりすることだ
・「IT部門がセキュリティの話を持ち出すものだから、ビジネスの機を逸したことがある。確かにクルマを運転する時にブレーキが必要なように、セキュリティが重要なのは理解している。だが、IT部門はなぜかクルマが車庫を出る前からブレーキを踏むんだ」
・費用対効果を無視してガチガチのセキュリティを実現しようとするのはまだ良いほうで、「ブレーキを踏んでクルマを車庫から出さない」、つまりセキュリティ面でのリスクがあるから、何もしないことがベストと思っている輩も多い。
・「デジタルビジネスなど新しい取り組みより、セキュリティのほうが重要」という“誤ったメッセージ”が広まれば、立場の弱くセキュリティに責任を持たなければいけないIT部門の技術者などは当然、「ブレーキを踏んでクルマを車庫から出さない」人々となってしまう。
・本来なら、社長やCIO(最高情報責任者)など責任ある立場の人間は、「新しい取り組みを成功させるために、セキュリティを担う君たちの役割が重要だ」と技術者らを鼓舞する必要があるのだ。
・デジタルビジネスを立ち上げるなど、新しい取り組みを行うことが前提になって初めて、「セキュリティ対策は最も重要」などと言えるのだ。
・「早めにブレーキを踏む」、つまり「サイバー攻撃のリスクが高まっているので、こんな対策を打つ」といった理性的なセキュリティ対策の話になるのだ。
・IT部門のセキュリティに関する第1のミッションは、デジタルビジネスなどを成功させることではなく、謝罪会見でトップに頭を下げさせないことになる。
・いくら現場に画期的なアイデアがあったとしても、IT部門はセキュリティを錦の御旗に動いてくれない。後はシャドーITで推進するしかないが、その場合、新たな取り組みが成功するかという事業リスクに加え、とてつもないセキュリティリスクが乗る。
サイバー攻撃の被害や個人情報漏洩など、日常的に発生する様々なセキュリティ絡みの事件や事故の多くが、人の怠慢や体制面での杜撰さによるものだったりする。例えば、ユーザー企業のIT部門がシステムの運用をITベンダーに丸投げし、そのITベンダーもさらに丸投げ、統制が働かない中で情報漏洩が発生。そんな事件はよく聞く話。