――「情報セキュリティに多額の投資をしているのに、いっこうにその効果が見えない。しかも、これまで大きな問題が発生したこともない。それなのに、今後も情報セキュリティに投資し続けなければならないのか」――最近、こういった声を耳にすることが多い。

不況で業績が低迷すると、それに歩調を合わせてセキュリティ・リスクも低下するわけではない。ISFの調査でも、経済状況に関係なく脅威は拡大し続けていることが明らかとなっている。そもそも、コスト削減の目的は余分なコストを省くことであって、必要なものまで排除するべきではない。安易に目先の利益追求に走らないことが肝要である。

例えば、セキュリティ侵害によって1億円の損失が発生すると想定されるとしよう。この場合、それを回避するための対策にいくらを投じればよいのかをIT部門だけで判断することはできないだろう。したがって、IT担当者とビジネス担当者、それにセキュリティ担当者を加えて話し合う必要がある。そして、想定されるリスクを分析し、それを回避するにはどの程度の投資が必要なのか、どのように運用していくのかを決定すべきである。

――ほとんどの企業では、従業員に対してセキュリティ教育を実施しているが、情報漏洩事件・事故がいっこうに減る気配がないところを見ると、十分に機能しているとは言えないようだ。

――だが、特にセキュリティに関するルールはなかなか聞き入れてもらえないのが現実では。

　そのような問題に直面している企業では、従業員に対して「〜をしてはいけない」と指導しているケースが多い。これでは、従業員はその行為が禁止されていることを知るだけで、効果は期待できない。むしろ反感を買ってしまうことのほうが多いだろう。本来の目的がセキュリティ・リスクの存在を認識させることなので、「〜をすると〜のリスクがある」と説明するべきである。そもそも、どのようなリスクが潜んでいるのかを理解できなければ、それに対する準備はできないものだ。

　例えば、「機密情報を格納したノートPCを紛失してはいけない」と言うのではなく、「機密情報を格納したノートPCを紛失すると、その情報が悪用され顧客に迷惑をかける可能性があり、場合によっては損害賠償を請求されるリスクもある」というように説明するのだ。それによって、セキュリティ対策の取り組みが企業価値の向上につながること、そして企業価値の向上に一体となって取り組むことが従業員の責任であることが認識されるようになる。