企業の個人情報漏えいが相次ぎ明るみになるなか、情報セキュリティ対策をいま1度見直そうとする動きが広がっている。来年4月の「個人情報保護法」施行を前に、従来からの外部アタック対策にとどまらず、既存システムの脆弱性検査を依頼する企業も多く、セキュリティシステムを抜本的に作り直すためのコンサルティングにも引き合いが増えている状況だ。“人災”との見方が強い個人情報漏えいは、講じなければならないセキュリティ対策の範囲を広げ、企業の意識を変えつつある。(木村剛士●取材/文)
変わりつつある企業の意識
■相次ぐ個人情報漏えい事件、根本から見直す機運高まる ソフトバンクBBの451万人の顧客情報流出を筆頭に、ジャパネットたかた、アッカ・ネットワークスなど、ここ1-2か月で個人情報流出事件が相次いで発覚した。社会インフラの一翼を情報システムが大きく担うようになったにもかかわらず、コスト削減やパフォーマンス向上を追求するあまり、セキュリティ対策を怠っていた姿勢を図らずも露呈した格好だ。
個人情報を流出した企業はいずれも、アクセスログを保存していなかったり、個人情報を格納するデータベースへのアクセス権管理がずさんだったりと、強固なセキュリティ対策を講じていたとは言い難い。
この一連の個人情報流出騒ぎを機に、事件を起こした企業はもとより、多くの企業がセキュリティ対策を見直し始めている。既存のセキュリティシステムや、セキュリティポリシーを見直す動きに続き、第三者機関に自社のシステムの脆弱性を検査してもらったり、既存セキュリティシステムの監査を受けようとする動きが活発化している。
アクセンチュアでセキュリティ関連のコンサルティングビジネスを手がける武田圭史マネジャーは、「セキュリティポリシーの見直しや脆弱性検査、既存のセキュリティシステムの監査の引き合いが急激に増え、対応しきれない状態」と話す。しかも、「セキュリティの強化を目的に、システムの再構築を検討する企業も出てきた」と続ける。
システムの運用・保守サービスを手がけるNECフィールディングでも、システムの定期メンテナンスにCE(カスタマエンジニア)が顧客企業に出向く際、脆弱性検査サービスの提案を始めた。1時間2万円程度で行う簡易サービスで、これが急速に立ち上がり、それに付随する形でシステム再構築のためのコンサルティングビジネスも徐々に引き合いが増えているという。
同社の栗原彰・ソリューションビジネス推進本部ネットワークソリューション推進部長は、「構築したシステムに自らが疑念を抱き、対策を見直しているようだ」と語る。
セキュリティ機器開発・販売のアズジェントは、セキュリティコンサルティングビジネスを約4年前から事業化している。セキュリティポリシーの作成支援や、セキュリティシステムの適切な運用・管理のためのコンサルティングサービスを提供するほか、セキュリティポリシー作成を支援するソフトウェアベースのツールを自社開発するなど、ビジネス領域を拡大させてきた。
アズジェントの駒瀬彰彦・取締役技術本部長は、「ユーザーは今、セキュリティ対策の必要性を感じながらも、どこまでやれば良いのか、何をすれば良いかが判らず、慌てている状態」と分析する。
そのうえで、「これは意識が高まってきた証拠であり、部分的に行っていたセキュリティ対策を根底から見直そうという機運が高まってきている」とし、来月上旬にはセキュリティポリシーの作成支援から監査、課題解決策までをレポートする新たなツールの提供を予定するなど、さらにコンサルティングビジネスを加速させる意向だ。
■注目を集めるISMS、人的セキュリティ対策が課題 その一方で、ここにきて注目を集めているのが、自社のセキュリティ対策に第三者機関からの“お墨付き”を得る「情報セキュリティマネジメントシステム(ISMS)適合性評価制度」だ。2002年4月に立ち上がった制度だが、すでにISMSの認証を取得した企業や団体、組織は360を超え、1年で2倍以上に膨れ上がった。
同制度を運営する日本情報処理開発協会(JIPDEC)の高取敏夫・情報セキュリティ部ISMS制度推進室長は、最近の個人情報漏えいについて「システムの技術的問題ではなく、人的セキュリティ対策の欠如が大きな要因だろう」とみる。「強固なセキュリティは、技術、人を含めたマネジメントの両輪が組み合わさって成り立つ。社員や組織全体のマネジメントまで踏み込んだISMS適合性評価制度を活用する流れは当然だろう」と述べる。
IT人材教育事業を手がけるグローバルナレッジネットワークの尾藤伸一社長は、「個人情報漏えいや、不正アクセスだけに焦点を絞って対策を講じることは危険。全体のポートフォリオを描き、堅牢性と利便性のバランスを保ちながら、最適なセキュリティシステムを構築することが最も大切であり、先頭に立って実行できる人材の育成も重要」と、セキュリティ専門の人材教育の必要性を訴える。
個人情報漏えい事件の発生を教訓に、企業はセキュリティ対策の見直しに先を争って乗り出している。これまでのウイルスによるシステムダウンのような外部アタック対策のように容易でないだけに、新たな分野のセキュリティ対策を多岐にわたって講じなければならない。今回の事件は、その必要性を企業に認識させた。
投資対効果が見えにくいと言われるセキュリティ対策だが、これを“負の投資”ではなく、1つの“経営戦略”として企業が捉え、施策を練らなければいけない時期を迎えている。
 | ISMS適合性評価制度 | | | 経済産業省の外郭団体である日本情報処理開発協会(JIPDEC)が、情報セキュリティ管理行動を規定した国際規格「ISO/IEC17799」と、英国規格「BS7799-2」をもとに作成した。2001年4月に試験運用を始め、02年4月から本格運用を開始している。
国際的な整合性があり、セキュリティポリシーや情報システムの管理・運用方法、人的セキュリティ対策までを網羅した総合的なセキュリティ評価・認証制度は、日本ではこれが初めてとなる。取得した企業は、顧客や取引先に対し自社のセキュリティシステムの堅牢性をアピールでき、信用を確保できる。 |  | 現在、IT関連企業を中心に365(4月5日時点)の企業や団体、組織が認証を取得している。企業だけでなく自治体にも普及が広がり、すでに市川市(千葉県)、三鷹市(東京都)が取得。杉並区(同)も取得に向けて動き出している。
審査はまず、JIPDECが審査登録機関として認可した民間企業が、審査登録業務を行う。審査登録機関が認証後、JIPDECがさらに審査を行い、最終的な認証判断を行う。審査登録業務をビジネスとして立ち上げる企業も多く、制度発足当初の3社から現在は11社まで拡大している。 | |
