セキュリティ問題はサーバールームから役員室へ?

セキュリティ問題はサーバールームから役員室へ?

2016.01.06

日本と海外で大きく異なる経営者のセキュリティ意識

テクノロジーイノベーション(技術革新)は必ずしも手放しでよろこぶべき事柄ではない。なぜならサイバー攻撃技術も同時に成長し、我々はサイバーセキュリティの危険にさらされているからだ。当初はサーバーに大量のアクセスを行うことで、過度な負荷を与えてサービス提供を妨害するDoS攻撃やWebページの改ざんといった稚拙な攻撃だったが、利便性の向上を求めた相互接続などネットワークの拡大によって被害が広がっている。

警察庁生活安全局情報技術犯罪対策課が2015年10月にまとめた「不正アクセス行為対策等の実態調査 調査報告書」。200ページにのぼる報告書には、無線LANやID・パスワードの管理方法、クラウドサービスの利用状況、Webサイトの管理から被害遭遇時の届出機関などが掲載。各企業や法人がどのような実際にどのような対策を施しているかがわかる

警察庁が2015年10月にまとめた「不正アクセス行為対策等の実態調査」によれば、今現在でもWebページの改ざんやメールの不正中継といった被害が全体の50パーセントを占め、サイバー攻撃の手段もマルウェアなどを使った感染や社外からの不正アクセスが多いという。このようなサイバー攻撃に対して、対応する管理体制もシステム運用管理者が兼務するケースが74.9パーセント。専従の担当者を設置している企業はたった11.7パーセントという状況だ。

日本マイクロソフトが2015年12月に開催したセミナー「サイバーセキュリティと企業経営リスク」で、同社代表執行役社長の平野拓也氏は「サイバーセキュリティは経営問題」と強く主張している。同社チーフセキュリティアドバイザーの高橋正和氏も「セキュリティ問題はサーバールームから役員室へ」と同様の主張を行っていた。これは某量販店のクレジットカード情報が流出し、和解金を支払ったことから株主がCEOを退任させた事例を元にしている。このようにサイバー攻撃による結果がブランドイメージや業績ダウンといった影響にとどまらず、経営責任を問われかねないのが現状だ。

経済産業省と独立行政法人 情報処理推進機構が作成したサイバーセキュリティ経営ガイドライン。セキュリティ投資に対するリターン算出はほぼ不可能であるにも関わらず、その影響は大きい。セキュリティ対策を具体的なフレームワークとして、いかに構築して備えるかについて明解にまとめてある

だが、前述したように肝心の企業経営者の意識は決して高くない。経済産業省が2015年12月に公開した「サイバーセキュリティ経営ガイドライン」によれば、積極的にセキュリティ対策を推進する経営幹部がいる企業は日本の27パーセントに対して、ワールドワイドでは59パーセント。サイバー攻撃予防は役員レベルで議論すべきか?という問いに対しても日本は同意意見が52パーセントだが、ワールドワイドでは88パーセントにもおよぶ。これらのデータはプライスウォーターハウスクーパースの「2014 Global State of Information Security Survey」と、KPMGジャパンの「KPMG Insight 日本におけるサイバー攻撃の状況と課題」をもとに同省が作成したものだが、あまりにも差が大きい。平野氏も「海外と日本では大きな隔たりがある」と同セミナーで語っていた。

日本と海外の経営者のセキュリティに対する意識調査の比較(サイバーセキュリティ経営ガイドライン内データより作成)

終わりのないサイクルに対して、経営者が取り組むべき対策とは?

しかし、サイバー攻撃者にとって国境は存在しない。経営者のセキュリティ意識云々に関わらず、システムの脆弱性をみつけてはサイバー攻撃を仕掛けてくる。ラック サイバーセキュリティ本部 理事の長谷川長一氏はインシデント(サイバー攻撃事例)の傾向として、以前は重要インフラを扱う業種が狙われていたが、直近の調査結果によれば、業種を問わずにサイバー攻撃を受けていることを明かした。さらにインシデント再発割合も2012年には8パーセントにとどまっていたが、2013年は21パーセント、2014年は28パーセントと増加傾向にあるという。

その理由として長谷川氏は「サイバー攻撃を受けた企業は対策を講じるが、(技術革新の速度にサイバー攻撃対策が追いつかず)数年後には通用しなくなる」と説明した。つまりIT技術の進化は、そのままサイバー攻撃技術の進化とイコールとなり、防衛する企業側も日々対策を講じる必要がある。

もちろん経営者が常にセキュリティ対策を行う必要はない。セキュリティ対策を推進する経営幹部を設ければ済む話である。だが、同時に組織全体を見直す必要があることを忘れてはいけない。長谷川氏はセキュリティ対策の実施順序として、最初に「セキュリティ監視と不正通信の洗い出し」を行い、次に「インシデントを前提とした組織体制の構築と、社員の意識改革および教育」を実施。そして「インシデント対策チームの組織化」や「サイバー攻撃発生を見越した演習」という例を挙げている。このように会社全体の管理体制の変更を伴うため、セキュリティ対策は単なる専任者ではなく経営層の判断が必要になる。

他方でセキュリティ対策は、設備投資のように金額に置き換えにくい部分があるのも事実だ。そのためセキュリティ対策は「力のいれどころと抜きどころが重要」と、ディアイティ クラウドセキュリティ研究所 所長の河野省二氏は語る。経営者はどこまでセキュリティ対策の現場に権限を与えるべきか、経営層が判断する情報として何を提示させるか明示しなければならない。

セキュリティ対策の現場は目的に応じた対策を行うと同時に、ログなどを視覚的にまとめたレポートを経営層へ報告する一定の仕組みを作り出す必要がある。経営層はレポートをもとに意図したセキュリティ対策が講じられているか、さらなる改善が必要なのか判断すればよい。企業におけるセキュリティ対策は単発ではなく、中長期経営計画とともに取り組む覚悟が必要だと河野氏は強調した。

IDS(侵入検知)やログ解析といったセキュリティ管理や、ワンタイムパスワード、生体認証といった認証技術など、セキュリティ対策に必要なアプローチは多岐にわたる。さらに"何を保護するのか"と目的を明確にしなければならず、経営者としてセキュリティ対策は頭の痛い問題だろう。だが、技術革新がとどまることはなく、サイバー攻撃者も手を緩めることはない。顧客や株主といったステークホルダーの信頼度を高めるためには、常日頃からのセキュリティ対策や情報開示といった取り組みが目下の急務だ。

阿久津良和(Cactus)

NewsInsight 更新終了のお知らせ

NewsInsight 更新終了のお知らせ

2019.06.17

NewsInsightは、諸般の事情により記事更新を終了いたします。

ご愛顧いただいた読者の皆様、また関係者の皆様に、編集部一同、誠に感謝いたします。

なお、NewsInsightに掲載中の記事につきましては、引き続きマイナビニュース(https://news.mynavi.jp)へと掲載場所を移管いたします。

掲載中の連載記事につきましても同様に、マイナビニュースへ移管いたします。各連載記事の新しい掲載URLにつきましては、以下となります。

○安東弘樹のクルマ向上委員会!
https://news.mynavi.jp/series/andy

○森口将之のカーデザイン解体新書
https://news.mynavi.jp/series/cardesign

○清水和夫の自動運転ソシオロジー
https://news.mynavi.jp/series/autonomous_car

○ゲームとともに振り返る“平成”という時代
https://news.mynavi.jp/series/game_heisei

○岡安学の「eスポーツ観戦記」
https://news.mynavi.jp/series/e-Sports_review

○企業戦士に贈る「こむぎのことば」
https://news.mynavi.jp/series/komuginokotoba

○藤田朋宏の必殺仕分け人
https://news.mynavi.jp/series/shiwakenin

○「食べる」をつくる科学と心理
https://news.mynavi.jp/series/food_science

○阿久津良和のITビジネス超前線
https://news.mynavi.jp/series/itbiz

○山下洋一のfilm@11
https://news.mynavi.jp/series/filmat11

○モノのデザイン
https://news.mynavi.jp/series/designofthings

○知って納得、ケータイ業界の"なぜ"
https://news.mynavi.jp/series/mobile_business

○文具ソムリエール・菅未里の「新しいコンパス」
https://news.mynavi.jp/series/bungu

○活字・写植・フォントのデザインの歴史 - 書体設計士・橋本和夫に聞く
https://news.mynavi.jp/series/font-history

○カレー沢薫の時流漂流
https://news.mynavi.jp/series/jiryu_hyoryu

最後になりますが、改めて皆様に感謝いたしますとともに、引き続き、マイナビニュースにてご愛顧いただけましたら幸いです。

放置されていた不寛容? 国会まで届いた「パンプス強要」騒動

カレー沢薫の時流漂流 第47回

放置されていた不寛容? 国会まで届いた「パンプス強要」騒動

2019.06.17

最近女性の間で「#MeToo」ならぬ「#KuToo」運動がにわかに盛り上がっている。

「#KuToo」とは「靴」と「苦痛」をかけており、職場や就職活動で、足を痛めるパンプスやヒール靴の強要をやめようという運動である。

そもそもそんなの誰も強要してねえよ、と思われるかもしれない。確かに規定として靴の形状やかかとの高さまで定めている会社はレアだろう。しかし、私の元いた会社でも、規則があるわけでも、誰に言われたでもなく、みな一様に黒のパンプスを履いていた。それが「暗黙のルール」であり、それ以外は「非常識」と見られる風潮は確かにあるのである。

これが就職活動になると、パンプスを履いていないだけで「こいつは常識がない」と見なされ不採用になってしまうかもしれない、ということだ。そうなると女子学生は足を負傷してでもパンプスを履かざるを得なくなってしまう。

正直、パンプスは苦痛

パンプスがそんなに苦痛か、というと、靴の中では殺傷能力が高い方である。これは他人への、という意味ではなく自分へのだ。他人を殺傷したいならカウボーイが履いている、かかとにピザカッターがついている奴を履いた方が良い。

狭いつま先に足の指が密集されるため、私もよく爪で隣の指を切って足を血だらけにしていたし、伸縮性にかける素材のため、あわないパンプスだと試着の時点で靴擦れが出来るレベルなのだ。

世の中には素肌に荒縄で亀甲縛りを施し、その上に上等なスーツを羽織って出社している人も多いと思う。とても痛いだろうが、それは強制されたわけではなく、その人が好きで楽しいからやっているのだ。

つまり、好きでもない上にとても痛いパンプスを強制で履かなければいけないというのは、上等なスーツの下が亀甲縛りなことよりも「異常」なことというわけだ。

この運動はすぐに広まり、いきなり国会でも議論されたという。これにより「厚労相がハイヒール強要を容認」という見出しのニュースまで踊り出ることになった。

完全に自由と言われても困るのでは?

「厚生省に、女がハイヒールを履かないと死ぬ病の人が!?」と驚いたが、記事をよく見ると見出しほどのことはなく、厚労相の発言は「これは社会通念に照らして業務上、必要かつ相等な範囲かと、この辺なんだろうと思います」というかなりボンヤリしたものであり、どっちでも良い事を聞かれた私のリアクションに似ている。

しかし「ハイヒールが履けない女は何やってもダメ」などと強い事を言っているわけではないが、「業務上必要ならパンプス履くべきだろ」という「容認」に聞こえなくもない。すぐさま「業務上ハイヒールが必要な仕事って何だよ」という疑問が挙がり、「SMの女王様」「(ハイヒールでキレッキレに踊る)perfume以外ありえない」などの声が相次いだ。

この社会問題がすぐ大喜利になってしまうのは良くも悪くも「ザ・ツイッター」という感じだ。

確かに「業務上必要」となると、まだかかとにピザカッターがついている靴の方が「ピザを食う時」必要な気がする。

ただ、靴や服装を完全に自由化し、何でもOKにすれば良いかというと、それはそれで問題が起きると思う。ファッションに疎くコーディネートが苦手な人間からすれば、職場に何を着ていいのか全く「指針」がないというのは迷子になるし、接する側としても、車を買いにいってディーラーが、イモ―タンジョ―の完コスで出てきたら「キャデラックしか買うことを許されないのか」と委縮してしまう。就活マナー本に「俺の考えた最強の就活ファッションで挑みましょう」とだけ書かれていても逆に困るだろう

着る側としても、それに接する側としても、社会において服装にある程度規定や模範があるというのはメリットでもあるのだ。

そもそも規定や常識というのは、秩序を作ることにより問題を減らすためにあるものなのだ。しかしそれが元で「足を負傷する」という「問題」が起こっているなら本末転倒なので、やはり解消はすべきなのだろう。

極論に流れない寛容さが足りない

おそらく「#KuToo」を提唱している人も「ドラゴン柄のコンバースで就活したい」と言っているわけではないのだ。最近は「パンプスに見えるスニーカー」なども存在するし、パンプスでなくても地味な靴はいくらでもある。そのような靴を履いていても「パンプスじゃないから非常識」と見るのをやめてほしいという話だろう。

ちなみに私が会社員時代履いていたパンプスだが、黒の革靴ではあったが、つま先は限りなく丸く、ヒールはなきに等しい、今思えばあれはパンプスだったのか、70過ぎのババアが旅行に行くときに履くヤツなんじゃないか、という代物であったが、特に何も言われなかった。

「#KuToo」が求めるのも、そのぐらいの「寛容さ」なのではないだろうか。

【お知らせ】
連載「カレー沢薫の時流漂流」の掲載場所を変更します。
→ 新しい掲載場所はこちら https://news.mynavi.jp/series/jiryu_hyoryu