[Vol.19]企業における情報セキュリティ対策のアップデートの重要性

コロナ禍が収束した後も、テレワークの導入は進むでしょう。これまで立ち話でやりとりされていたような情報も、ネットワークに流れるようになるわけですから、情報セキュリティ対策についても、そうした状況を想定した発想の転換が必要です。

多くの企業では、これまで「境界線方式」を前提に対策を行ってきました。これは信頼できる「内側」と信頼できない「外側」に境界線を引いて区別し、社外との境界線の内側にある社内のシステムやネットワークなどの安全を確保し、外部からの危機を寄せ付けないという考え方です。

オフィスに従業員が集まって仕事をするのであればこの方式は有効に機能しますが、テレワークや在宅勤務など、多様な働き方が広がれば状況は大きく変化します。境界線方式を続けるには、従来のような防壁を従業員一人ひとりに張り巡らせる必要がありますが現実的には不可能です。

そこで求められるのが、100％信頼できるものは何もないという「ゼロトラスト」の考え方を前提にした情報セキュリティ対策です。専門家の間ではゼロトラストによる対策は浸透し始めていますが、企業の経営者や従業員など一般の人にとって、ゼロトラストというのはまだまだなじみがない考え方でしょう。

情報セキュリティ対策に関して何より重要なのは、思考停止に陥らないことです。

情報セキュリティ対策の重要性は以前から注意喚起が行われてきたため、全く対策を行っていない、ルールを定めていないといった企業は少ないでしょう。対策を継続すること、決めたルールを守ることは大切ですが、状況や環境に応じて見直すことも大切です。「社内の情報セキュリティ対策のルールとして決まっているから」という理由で思考停止に陥ってしまうことで、有効な対策が施されない、業務効率が低下するなどの弊害が出ることも少なくありません。

常に情報をアップデートして新たなツールや脅威の登場といったITを取り巻く環境の変化を捉え、従来のルールが効果を失っていると判断した場合には柔軟にルールを変更し、新たな対策を導入する。こうした実効的な情報セキュリティ対策を実施するには、既存ルールの変更をためらわずに提案できる風土を作ることも大切です。

テレワーク導入後に情報セキュリティ面で問題がないか確認できているケースは多くはないでしょう。従業員それぞれが契約している回線や自宅の無線LANなどの対策を、ある程度従業員に任せざるを得ない中、企業として何をすべきか。情報セキュリティ教育を通じてリテラシーを高めるなど、対応を検討していくことも求められます。

経営者の意識改革も重要なポイントです。情報セキュリティに関する国際規格群ISO27000シリーズでは、経営陣が情報セキュリティ対策に関わらなければならないことが明記されています。

情報は、今や企業がビジネスを進める上で欠かせないインフラであり、経営資源の一つです。それを守るための情報セキュリティ対策において、経営者がリーダーシップを発揮して積極的に関わるべきなのは当然ですが、多くの経営者が対策に関与できていないからこそ、わざわざ国際規格にうたわれているともいえます。経営者が情報セキュリティを自分ごととして捉えなければ、有効な企業全体の情報セキュリティ対策は実現できないということを意識してほしいと思います。