経営者に知ってもらいたい!売上げに直結しないセキュリティの重要性

大規模なハッキングや情報漏洩が、ニュースになることも珍しくありません。サイバー攻撃によるインシデントは、ビジネスに大きなネガティブインパクトを与えます。B2B・B2Cであれ、取引や商談の連絡が停止したり、製造や出荷に影響が出るリスクは避けなければなりません。ITシステムに詳しくない経営者の皆さんにも、知っていただきたい課題です。

対策にはそれなりのコストが掛かる

組織の中では、予算確保が部門ごとの重要なタスクです。十分な意図やエビデンスを添え、組織というワークフローの中で、しかるべき部署に稟議書を通して、無事に予算を確保する必要があります。ただし、ビジネスにとっての優先順位を考えると、必ずしもセキュリティ対策が優先されるとは限りません。
危機感を抱かない限り、人はなかなか「保険」にコストを掛けようという気にはなりません。セキュリティ意識があまり高くない経営層であれば、例えば開発や営業を優先する一方、セキュリティ対策や運用には、限られたリソースしか確保されないことになります。
セキュリティ対策には、それなりのコストが掛かります。サーバやネットワークなどのハードウェアやインフラ周り、ファイヤウォールやウィルスチェッカーなどのソフトウェア、さらに、人材の管理や教育コストが必要です。守るべき情報の機密性や、障害によって受ける被害の深刻度や影響範囲によって、対策の手法は異なりますが、システム運用と同様に、利益に直結していない部門にも、掛けるべき必要なコストがあります。どの程度の人や物資のリソースをセキュリティ対策に割くかは、最終的にはトップ判断です。

防御は攻撃よりも難しい

売上げへの貢献が見えづらいセキュリティ管理が抱えるジレンマは、攻撃を実際に受けるまで、取ってきた対策が有効かわからないことです。会社の内部情報や特許、プログラムのソースコードなどの知的財産(IR)に対するアタックや、社員や顧客の個人情報を盗み出して人質に取り身代金を要求するランサムウェア、仮想通貨をマイニングするマルウェアのインストールなど、攻撃の方法も多様化・巧妙化しています。
今は、システムを監視する専用サービスを導入することで、センサが働き、緊急性や深刻度が高いアラートがフィルタリングされ、簡単に把握できるようになっています。あらかじめ設定しておいたパターンに従って、一定の閾値や条件を超えた異常を感知した時にのみ、インシデントと判断してチケット化され、解決まで適切に管理されます。しかし、油断することなく、常に注意を払っておく必要があります。

<PR>セキュリティ対策は利益を生まないどころか、コストが掛かるもの。人材を有効活用し、運用を楽にしましょう。SaaS型の統合運用管理サービス「UOM」で効率化しておけば、「攻めの対策」ができます。詳しくはこちら

人材を育てることが難しい

セキュリティリスクの大きな要素の一つが「人」ともいわれますが、安全で快適なITシステムを維持していく鍵もまた「人」。ただし、セキュリティの現場は、日頃の業務の中で少しずつ慣れて、スキルアップしていくことができません。デビュー、即、本番実践なので、安全に経験値を高めていく環境がなく、人材を育てることが難しい条件にあります。特に、人材が限られている中小企業では、売上げに直結しない部門に割けるリソースも限られています。
セキュリティ人材の確保や育成には、外部のベンダーやサービスプロバイダーが実施する、実践的なセキュリティ研修に参加したり、積極的に情報交換を繰り返していくことは非常に有効です。攻撃者に手の内を知らせないために、重要な情報ほど表に出ませんが、最新の技術情報や他社の具体的な対策、自社に合ったサービスなどに触れられる貴重なチャンスです。

実は、攻撃者側からの視点も重要

『平和を語るには、軍事を知る必要がある』ともいわれます。攻撃者の視点で、多方面から脆弱性を検証することが不可欠です。世界的なIT企業が、懸賞金付きのハッキングイベントを大々的に開催しているのは、このためです。
いわゆる「ハッカー」と呼ばれる存在には2種類あります。悪意を持って攻撃してくる「ハッカー(ブラックハッカー/クラッカー)」と、彼らと戦う「ホワイトハッカー」と呼ばれる、全く逆の立場です。彼らは、高度な技術力と明晰な頭脳を持つ点では共通しています。ブラックハッカーがある時点で良心に目覚め、組織のセキュリティ対策チームに所属することもあれば、逆に、元セキュリティ畑にいた人が、ダークサイドへ堕ちてしまうといった、映画のような現実が起きています。
ただ、何も自社の担当者を疑いの眼差しで警戒し続ける、という意味ではありません。もしも、自分が攻撃する側の立場だとしたら、自社のどこが弱点か?何を失うとビジネスで大きな損失に繋がるのか?非常時からの復旧体制は?といった、防災シミュレーションが重要です。

経営者や管理職がすべきこと

『よい城にはきっと隙がひとつある。その隙に敵を集めて勝負をする。守るだけでは城は持たん』とは、映画『七人の侍』のリーダー役、島田勘兵衛の台詞。ビジネスを率いる経営者に必要なことは、守らなければならない自社の重要な資産やリスクを把握することです。
そして、損失や被害を受けた場合のリスクを考え、優先順位を付けて、具体的な防御策を実行するための「ヒト」「モノ」「カネ」というリソースを確保することが求められます。

<PR>ビジネスもテクノロジーも高速に変化する中、守る資産とセキュリティ対策とのバランスは、常に悩ましい問題…。システムを柔軟に運用できる、SaaS型の統合運用管理サービス「UOM」が役立ちます。詳しくはこちら

関連記事

∞∞∞∞∞∞∞ おすすめ記事 ∞∞∞∞∞∞

  1. システム運用のコスト削減(1)- コストが掛かる理由はコレ

    開発と違い、組織にとっての利益を生み出さず、費用を使うだけの「コストセンター」だと誤解されるシステム…
  2. 学びもハックのひとつだ!業務のスキマで少しでも英語力をアップしよう!

    学びもハックのひとつだ!業務のスキマで少しでも英語力をアップしよう!

    業界外の人たちからなかなか理解されない、「毎日、カタカナの専門用語を使っている、英語が苦手なITエン…
  3. ITILの中心的プロセス、構成管理って?ITILの基本(2)

    ITILの中心的プロセス、構成管理って?ITILの基本(2)

    ITILに関する前回のエントリーでは、サービス運用や管理の事例集としての概要に触れました。今回は、I…
  4. アウトソーシングの目的は「人減らし」じゃない!:現場のプロに聞いてみた(11)

    イレギュラーが起きてもシステムを止めない!サポートの覚悟:現場のプロに聞いてみた(9)

    あけましておめでとうございます。 本年も「運用ナビ」をどうぞよろしくお願いいたします。この一年が、…
  5. 職人技だからこそアウトソース可能!:現場のプロが語ってみる(5)

    IIJの福原です。前回の記事では、システム運用業務がなかなか評価されないという、半ば愚痴っぽいトーン…
ページ上部へ戻る