2018年2月28日（水） 

問われる倫理

 トレンドマイクロ株式会社
 セキュリティエキスパート本部　ソリューションSE部　部長　　飯田　朝洋

 
　いつの時代も残念ながら情報セキュリティインシデントは起きています。個人情報の漏えい、Webサイトの改ざんなどの情報セキュリティインシデントは、近年ニュースや新聞などでも一斉に報じられることからも関心の高さが伺えます。
 
　昨今の情報セキュリティインシデントの公表情報やニュースの報道内容を見ていて、思うところがあります。当事者および係わる関係者の倫理観によって、その後の企業・組織の明暗が分かれるということです。
 
　インシデントを察知した従業員が見過ごすことなく、然るべき部門や監督官庁へ報告していれば、被害は最小限に食い止められたはずという事案は少なくないはずです。また、起きてしまったインシデントに、経営トップが真摯に向き合い、誠意ある対応を取っていれば、その対応に賞賛の声が送られることもありました。もちろん、起きてしまった事実には厳しい指摘はあったと思いますが、その後の対処によって賞賛を得られるか否かは、その企業の存続に大きな影響を与えることは明白でしょう。
 
　情報セキュリティインシデントの発生原因は、コンピュータウイルスの感染や不正アクセス、携帯電話・ノート型パソコンの紛失・盗難、メールの誤送信など、挙げればきりがなくその原因はさまざまです。
 
　情報セキュリティインシデントを未然に防止するために、企業や組織は情報セキュリティ対策を講じています。また、万が一、インシデントが発生しても被害を最小化するための対策も必要です。情報セキュリティ対策に「完璧」は存在しないため、攻撃を防ぐための未然の対策に加えて、インシデントが発生した際の対応が求められるのです。
 
　CSIRTやSOCといった組織を編成し、昼夜問わずセキュリティインシデントの撲滅に奮闘している企業・組織もあると思います。当然、社員教育にも目を向け、セキュリティ意識の向上や専門スタッフに対しては有事・平時問わず、迅速な対処を可能とする専門トレーニングに投資されている企業も、このご時世も相まって少なくないと思います。
 
　ここまで入念な準備をしていてもセキュリティインシデントが発生している昨今から考えると、それだけ攻撃手法が巧妙化し情報セキュリティを取り巻く環境が複雑になっていることへの裏付けなのかもしれません。
 
　情報セキュリティインシデントの防止において組織として努力することは、社会的責任を背負っている企業・組織であれば逃れられないのです。
 
　そのような状況下において、いま一度、技術的な観点や組織的な対策以外に、企業・組織風土ともいえる倫理観の向上にも着手いただきたいと考えています。有事の際の最後の砦は、係わる人一人ひとりの倫理観に委ねられる部分が少なくありません。勇気を出して正しいことを正しく実行出来る風土・文化の醸成も、情報セキュリティインシデントを未然に防ぐことから適切なインシデント対応を行うに至るまでの情報セキュリティ対策全般にとって極めて重要と言えるからです。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。