すればするほど面倒になってしまう情報セキュリティ対策
インターネットバンキングでは、顧客が管理しなくてはいけない暗証情報が増加しています。
そして、よく用いられるのがワンタイムパスワードで、不正送金などのリスクを少なくするた
めのセキュリティ対策です。
業務で頻繁にインターネットバンキングにログインしなければならないときには、作業が煩雑
になります。
これは、被害を防止するためには、本人確認を二重三重にしたり、乱数表やワンタイムパス
ワードカードを用意したりして、何度も入力作業を繰り返さなければならないからです。
セキュリティを強固にすればするほど、様々な対策を講じてセキュリティ水準を高めようとし
ますが、手間やコストがかかってしまうというジレンマに陥る現実があります。
このように十分なセキュリティを確保するために、様々な対策を講じてセキュリティ水準を高
めようとすればするほど、手間やコストがかかってしまうという板ばさみに陥る現実がありま
す。
業務内容によって、段階的にセキュリティを強化
組織において、突然、高いセキユリテイ水準を要求したりすると、従業員が面倒になりセキュ
リティ対策を遵守しないことがあります。
このような場合には、ステップ・パイ・ステップ、すなわち段階的にセキュリティ水準を高め
ていく方法をとるとよいでしょう。
セキュリティ水準は、一般の業務部門とIT部門とで違ってくるのが普通です。
それは、それぞれの部門ごとに業務内容が違うからです。
そして、一般の事業部門にIT部門と同様のセキュリティ水準を求める必要はありませんし、
また、一般の事業部門に必要以上に高度のセキュリティ対策を求めないように配慮することも
重要です。
意識しなくてもいい自動化でのセキュリティ強化
セキュリティ対策を自動化することで、セキュリティ対策を意識して行なわなくても済みま
す。
セキュリティ対策の自動化としては、例えば、次のようなものがあります。
・パスワードを強制的にシステムで変更する
・使用する文字をシステムで設定し、パスワードの桁数、不適切なパスワードを利用でき
ないようにする
・入退管理をシステム化する
・監視カメラを設置する
・共有サーバを自動暗号化する
・メールの添付ファイルを自動暗号化する
セキュリティ対策をおこなう場合、事前にセキュリティ対策の費用対効果を検討する必要があ
ります。
セキュリティ対策のために導入する機器、設備、システム、サービスなどは多岐にわたってい
ます。
しかし、これらを導入するにあたり、自社の環境やニーズ、どこまで対策を講じるか、セキュ
リティ対策の構築は、どの程度のセキュリティ水準が向上を目指すのか、業務に及ぼす影響
(コスト)はどの程度なのか、機器設置やソフトの設定などの一時費用、
管理費や保守費などの運用費がどの程度かかるのか、十分に検討して行わなければなりませ
ん。
また、セキュリティ対策をすべて一度に講じることは難しいため、段階的に行なうというよう
に時間軸をもってセキュリティ対策を検討すべきです。
セキュリティ対策の中長期計画を策定することにより、経営資源を効果的に、また、効率的に
投入することができ、セキュリティ対策コストどの程度のをかけるべきかについては、最終的
な判断を経営者が下さなければなりません。
そのため、セキュリティ対策に関する責任を自分が負っていることを経営者は、忘れてはいけ
ないのです。
まとめ
セキュリティ対策の予算は自社にとってどれくらいの額が妥当かとなると、根拠のある数字を
示すのが難しいのが現状です。
セキュリティの重要性やコストがかかることは経営者も理解しては、いますが、それでも難し
いにはどこまで行えばよいかという基準が明確ではなく費用対効果が見えにくいことがあげら
れます。
そして、考え方を変えて、セキュリティ対策にかかる費用を将来の損失を防ぐ一種の投資と考
え投資プランと、予算を決定していくことが重要です。