セキュリティ対策の不備はビジネスに大きな影響を与えるといっても過言ではない。企業が2009年に取り組むべきセキュリティ課題について、ガートナージャパンでセキュリティ調査を担当するリサーチディレクターの石橋正彦氏に聞いた。

情報漏えい対策は、海外では「Data Loss Prevention」（DLP）とも言われ、企業における重要なテーマになっています。企業が抱える顧客情報や経営情報の流失事件など受けて、クライアント上ではHDDの暗号化、サーバ側ではWebサイト経由の不正アクセス対策などの導入が進みました。

不正アクセス対策では、IPS（侵入防止システム）の機能をアウトソーシングする動きが広まりました。従来は専用のハードウェアアプライアンスを導入して、自社で運用管理するケースが中心でしたが、低廉な月額サービスの普及などでネットワークの保護を外部に委託する傾向が強まりました。不正アクセス対策のための装置や専任者を自社で設置するよりも、専門家に任せた方がよいという認識が広がっているようです。

日本ではシステム開発を外部の協力企業に丸投げするケースが数多くありますが、開発時やテスト段階で用いられたアクセス権限が運用開始後も放置されるケースが多数見受けられます。
企業の管理者よりも開発会社の人間の方がシステムに詳しいという場合が少なくなく、管理者が把握しない権限が悪用される事件も発生しました。

経済情勢が厳しくなり、セキュリティを含めたIT投資が難しくなるケースもあるでしょう。そうした企業も含めて、まずはシステムの管理者や利用者、関係者のアクセス権限の状況を正確に把握するところから始めるべきだと考えます。
アクセス管理はセキュリティ対策の基本中の基本ともいえるものです。「特権IDを管理する」「退職者のIDを必ず削除する」「共有IDの管理を厳重にする」といったことが挙げられますが、これらを徹底することが情報漏えいなどのリスクを最小化し、情報セキュリティ事故が経営に与える影響を排除することにつながります。