連携して対策を講じよう!陥りやすい間違い

他のリスクとともに考えるて、「情報セキュリティだけを考える」という間違い

企業活動では、リスクが存在します。

情報セキュリティリスクは、ITリスクの1つですが、ITリスク以外にもコンプライアンスリス

ク、市場リスク、事故・災害など様々なリスクがあります。

多種多様なリスクに対して、個別に対策を講じていたのでは、企業グループ全体としてのリス

クマネジメントが有効に機能しません。

したがって、情報セキュリティリスクは他のリスクとセットにして考えていく必要があり、前

節で解説したERMに取り組んでいない企業などの場合でも同様にセットとして考えていきま

す。

現場の状況をよく把握するして、有効な情報セキュリティ対策を実施するためには、観察する

ことが重要です。

情報セキュリティ対策を講じても、遵守されないことがしばしばありますが、それは、多くに

場合に理想論だけで対策を講じている

場合がが多く、現実的には実施できない場合にそれを強く要求しても、実施されないという事

態になることがあります。

例えとして、少人数のIT部門では、開発と運用の「職務の分離」を求めても開発部門と運用部

門を組織上独立することは現実的に無理でしょう。

このような場合には、開発とは別の担当者が運用を行なう仕組みを代替策としたり、

ログを取得してそれを分析したりする現場の場合は、その実情を踏まえた対策を講じたほうが

有効です。

また、予算がなくて要員を増員できない時には、職務の分離が行えないので、

その場合には、代替策を提案したり、認めたりすることも必要も出てきます。

さらに、顧客から見て、あまりに厳格なセキュリテイ対策を講じてしまうと、

自社のサービスを顧客は利用しなくなるかもしれません。

例えば、ワンタイムパスワードカードを配付したほうが顧客にとっては利便性がよいという可

能性もありますので、パスワードで用いる英数字、大文字小文字、記号の利用や桁数の増加を

図るという以外の選択肢を考える必要があります。

したがって、顧客の視点から見て自社のセキュリティ対策が適切かどうかを検討することが重

要です。

「できないことをやらせる」と不満を募らせてセキュリティ対策に対する意識がなくなる

理想論で情報セキュリティ対策を構築しようとする場合、業務実態を考えずに情報セキュリ

ティの強化だけに関心が向いてしまうことがあります。

例えば、三重四重の対策を講じてしまい、実際は二重の対策でよい業務だったということもあ

ります。

また、「情報セキュリティ担当部門は無理難題を押しつけてくる!」と不満を募らせている場

合があります、これは、実行できないことを従業員に求めているケースで、

セキュリティ対策に対する意識がなくなってしまいかねません。

したがって、現実的に実行可能なセキュリティ対策を考えて実行することが必要です。

情報システムの企画・開発・運用・保守などの業務で、IT人材が不足していると、それらをIT

ベンダに任せたままになりがちです。

その場合、過大なコストを請求されたり、品質の低いサービスの提供を受けたりするケースが

あります、これは、IT業務の内容がわからないことから発生したりします。

また、ITベンダの言うことを鵜呑みにしてシステム開発を行ない、その開発が失敗して多額の

損失を被るケースが多発しています。

さらに、システム運用や保守に失敗して外部から社内情報や顧客情報が見読できる状態になっ

てしまったり、

セキュリティ機能が適切に盛り込まれない業務システムを開発したりするケースも発生してい

ます。

そのため、人材を確保をしてITベンダと対等に議論ができることが重要になってきます。

そしてITベンダの言うままにシステムを開発するのではなく、システム開発の目的を明確に

することが大切です。

その結果、ムダなシステム開発を回避することができるのです。

ITベンダに委託する際の注意点は、例えば以下のとおりです。

・経営戦略との整合性

・目的の明確性(顧客獲得、コスト削減、納期短縮など)

・システムの活用方法の明確化

・代替案との比較検討

・セキュリティレベル

まとめ

ITマネジメントの業務は、担当者個人のミッションとして役割分担され、少数精鋭で実施され

ることが多く、組織の成果が個々の人材スキルに影響されやすいものと考えられます。

また、経営戦略やIT組織形態など、IT組織が置かれた状況が千差万別な中で、自社の事情に合

わせて業務を遂行する必要があり、これも組織の成果が人材スキルに影響されやすい理由で

す。

これら機能において既に人材スキルが充足している企業はそれで十分なのでしょうが、IT人材

が不足している企業においては、優秀なIT人材は価値が高く、IT組織に今後も居続ける保証が

なく、また、その、スキル継承は相応の時間がかかる上に、その効果は不確実です。

今後、個々のIT人材のスキルを組織力に昇華させていくことが課題となります。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする