情報セキュリティー人材に敬意を払わない現状を憂う

f:id:orangeitems:20220301122158j:plain

 

ここ数日、セキュリティーインシデントの事例が激しい。

自動車工場が稼働を止めてしまったり、クレジットカードの情報がダダ漏れになっていたりと、いろんなことが起きている。戦争と関係するかどうかに関わらず、いつも、何かにさらされている。

もはや、コンピューター無しでは会社は回らなくなった。にもかかわらず、コンピューターを管理する情報システム部門は、総務や人事のようなバックオフィスの扱いにされることが多い。ファイルサーバーや人事・経理システム、社内ポータル、メールなど、会社を裏方で支える基盤システムを預かる人材より、事業寄りのシステムに優秀な人材を置くケースは多い。事業がお金を稼ぐから仕方がない、という側面もあるが、いざ問題が起こったときに頭を一番ひねるのは、実は情報システム部門である。

この構図が変わらないと、企業のサイバーセキュリティー戦略は不完全なものになる。つまり、バックオフィスと位置づけている限りは、事業寄りの人材が登用されない。しかし攻撃者は現場の技術の最先端を追っているので、戦いにならないのだ。情報システム部門に最もITに詳しい人材を置く会社など、見たことはない。

故に、DXという話題になると、情報システム部門とは別に作られることが多い。これはDXは事業寄り、情報システム部門はバックオフィス寄りだからである。しかし、実は使う技術は同じであるし、攻撃手法はいつだって最先端だ。

ここ最近のニュースで、企業経営者は慌てていると思う。あの会社がやられるとは。しかも、本体ではなく取引関係の強い会社が一社被害にあっただけ、である。どんな企業も自社だけで事業が成り立っていることはない。複数の取引先との関係を含めて、結果としてアウトプットが成立する。どこかが止まれば別のどこかがカバーするようにはなっているが、今日明日に対応するのは無理なのは自然な話である。

昨今の状況により、経営と情報システムは表裏一体で、情報システム部門に最先端の現場の人材を置かないと、経営リスクになる、ということが当たり前になってほしい。

政府や経産省は、情報処理安全確保支援士という資格を数年前に立ち上げ運用しているが、全く企業経営にリンクしていない。例えば企業の情報システム部門には必ず情報処理安全確保支援士を置くことを義務付け、もし置いていない場合はアウトソーシングするなどの施策はどうか。何しろ事業で通用しないからバックオフィスに転用し、「システムやパソコンのおもりをさせる」という意図でのタスクに埋没させられている情報システム部門の担当者も見られる。しかし、それでいいのか。会社全体が止まる、もしくは、会社が取引している別の会社の経済活動まで止めてしまう。そんな要となるべき社内情報システム部門の統括が、セキュリティーについては素人だ、ということで良いのだろうか。

インシデントの内容を見るに、かなり稚拙な対応で放置されていた部分を狙われるケースが後を立たない。もし専門家がこの状況を一度でもレビューしていれば。しかも社内に専門家がいるにも関わらず、事業にアサインされていて蚊帳の外。そんな状況を打破した上で、セキュリティー人材に一定の価値を与え、限られたリソースを有効利用しないと、今後の経済活動に対してますますリスクが増していくのではないだろうか。

何もないとき、平和なときに、セキュリティーは「コスト」と見られがちであるが、いざリスクが顕在化したときに、会社ごと吹っ飛ぶのである。もはやコストではなく、基礎であり、基礎にお金をかけない企業はいずれ来る嵐に耐えられない。その嵐は年々、脅威を増しているのは間違いない。