重要情報の扱いを考え直す（第2回）情シスに求められるものが多過ぎる

　この問題を考える上で理解しておきたいのは、いわゆる「情シスの仕事」の内容が変化している点だ。かつての情シスは、自社で構築したシステム管理が業務の中心だった。会社に最適な仕組みを自身の手でつくり上げ、守るのが使命だったともいえる。ところがその後、アウトソーシングの一環としてIT関連業務を個別にベンダーに委託する機会が徐々に増えた。

　一見、情シスの負担低減につながる動きにも思えるが、そうではない。ベンダーが提供するシステムは、新たな技術を取り入れる場合もあり、その知識を身に着けたり、仕組みを理解したりすることは容易ではない。また、最近は社員が個人所有のノートパソコンやスマートフォンを業務で使うBYOD（Bring Your Own Device）も普及してきているため、管理が必要な機器の数はむしろ増えた。そうした守るべき資産や端末の中にある情報を、部門の壁を越えてすべて把握しなくてはならない。

　業務に使用する多くのソフトウエアやアプリにセキュリティ関連の脆弱（ぜいじゃく）性が発見されれば、それに対処するパッチ管理やバージョン管理を徹底する必要もある。ウイルス対策ソフトを更新し、パスワードの管理を徹底させる程度でセキュリティ対策が済んでいた状況は過去のものとなった。攻撃者は深夜・休日問わずサイバー攻撃を行っている。企業の情シスだけで365日24時間、即時対応を行うのは極めて困難だ。

　サイバー攻撃による被害を食い止めるため、官民挙げてセキュリティ対策強化の動きも活発化する。注目されるのは、総務省が推進する地方自治体のセキュリティ対策強化に向けた一連の取り組みだ。その背景には2017年から本格化しているマイナンバーを含めた情報提供ネットワークの連携がある。

　興味深いポイントは、セキュリティ対策を行う箇所が集約されていることだ。「自治体情報セキュリティクラウド」と呼ばれるこのシステムは、これまで市区町村単位で行われていた対策を都道府県単位に集約し、資源を共通利用するところに特徴がある。

　集約の理由は従来の個別対策では攻撃を防ぎ切れないこと。多くのサイバー攻撃はシステムの弱い部分や、管理の行き届かない部分を狙って行われる。さまざまな理由で未対策の自治体が1つでもあれば、そこを踏み台にして全国規模の攻撃につながる。インターネットの接続箇所が分散していると、対策のレベルを一定に保つことが困難な上に、保守・運用の手間も増してしまう。

　民間にも当てはまる。インターネットによってさまざまな企業のシステムが相互に連携する現在、未対策企業の存在は大きなリスクになる。ビジネスの基本となる顧客情報をはじめ、生産や取引に関する情報、さらには従業員の個人情報など、企業のシステムには守るべき重要情報が詰まっている。規模の大小を問わず、これらの情報を扱うすべての企業はセキュリティ対策の高度化が必要だ。

重要情報を持つ企業はセキィリティ対策を外部のプロに任せたい

　とはいえ、前述の通り企業のセキュリティ対策を取り巻く環境は厳しい。中でも深刻なのが人材不足の問題だ。サイバー攻撃の脅威が高度化していく中で、それに対応し、追随できる人材を育成することは簡単なことではない。

　このような状況で考えられる最善の答えは、セキュリティ対策に長けた外部のプロ（ITベンダー）に対策を依頼する方法だろう。社内で情報管理体制を整備したり、責任の所在を明確にしたりしておくのはもちろんだが、外部の専門家の力を借りることがセキュリティ対策のレベルアップにつながるだろう。

　避けるべきは「人材はいないし、今のままで問題は起きていないから取りあえず放置」という状態だ。セキュリティ対策強化の取り組みはすべての企業に課せられた義務と捉え、直ちに対策を講じる必要がある。もはや一刻の猶予も許されない。