Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

知ってますか?キャスビー、EDR、ピーサート2019年のセキュリティ対策、5つのヒント(前編)

印刷

ヒント1ビジネス推進のステークホルダー拡大

IT調達がカジュアルなものになっています。企業の業務を支えるハードウェアからアプリケーション、またバックエンドのデータベースに至るまで、様々な企業が入り乱れて成り立っています。それにともない、協力企業、関連企業も増えており、1つの事業を完結させるための関係者、その所属組織は少なくありません。一箇所にリスクを完結させることはもはや不可能です。

これは、セキュリティ活動や教育啓発、ひいてはポリシーによるガバナンスの限界を意味しています。攻撃者から見れば、1つの企業のデータを窃取する攻撃面はありとあらゆるところにあるということです。同時に、被害が発生した場合の影響範囲も、自社だけにとどめることが極めて困難となります。この状況が、これから論じるいくつかのキーワードとかけ合わさると、セキュリティには「事業とマッチした戦略が必要」であることが鮮明に見えてきます。

IT環境の多様化に伴い、ワーカーに必要とされるセキュリティ・リテラシーも変わってきます。個人情報の取扱ひとつとっても、会社では個人情報取扱研修などポリシーによる教育は、形式的で、毎年同じものが行われていないでしょうか。ISMS対応という旗印のもと、もう何年もポリシーの改定をしていないということはないでしょうか。これでは、業務を推進する手段はどんどん進んでいけばいくほど、「セキュリティ」が化石になっていくリスクが高まっていきます。

セキュリティ・リテラシー教育は、もっと実務に寄り添う形になっていかなければ有効性を発揮できないことを意味しています。ご承知のとおり、事業が異なればリスクも異なります。フロントとバックオフィスではリスクが違います。経営陣と現場の部門では、リスクが違います。もっと言えば、ソフトウェア開発部門と、運用部門では、リスクが違います。会社のさまざまな職務が様々なシステムが入り乱れる中で、「情報を扱う」ということは全社全業務をひとまとめにできるほどシンプルではありません。

「業務に特化したセキュリティ」を推進する教育プログラムは、それぞれの事業をサイバーセキュリティのみならず、ミスオペレーションなどによって引き起こされる事業継続を阻む問題に直面するリスクを大きく下げることにつながります。

この記事のキーワード