経営者への情報セキュリティ啓蒙

コラムカテゴリー:,

情報セキュリティに関心のない中小企業の経営者はまだまだいるようです。
セキュリティに関する費用は利益を生まず、
経営者はできるだけ費用をかけたくないと感じているのでしょう。

その状況下で、情報システム担当は、
なかば強引にセキュリティソフトやハードの費用を捻出させるか、
あの手この手でリスクを提示し、不安を煽って予算を配分してもらうか、
経営者への情報セキュリティ投資の動機づけになかなか有効な手がありません。

そして、セキュリティはその性格上、費用をかけただけでは対策になりません。
体制を整え、教育し、日々の仕事で意識する環境を準備しなければなりません。

どのように経営者へ啓蒙すれば有効か以前は悩ましかったです。
が、最近は経営者向けのコンテンツが充実している
IPA(https://www.ipa.go.jp/index.html
の素材利用をおすすめしています。

しかし、それだけでは不十分です。
JASA(NPO日本セキュリティ監査協会)の
「情報セキュリティ十大トレンド」
http://www.jasa.jp/seminar/security_trend_top10.html
において
「成長しないマネジメントシステムによる組織活力の低下」
「形だけCSIRT/名ばかりセキュリティ人材による弊害の発生」
などが指摘されているように、
情報セキュリティ体制の形骸化がみられているようなので、
体制運営が非常に大切であると付け加えなければいけません。

日々変化するリスクをキャッチアップし、
注意喚起・教育を行う環境を準備し、
ハードやソフトの更新・強化が必要であれば、
費用を捻出することは、経営が担う役割です。

しかし、中小企業の経営者は効果が不明瞭なものに対して、
コストをかけることに慣れていません。
できるだけ可視化し、リスクを共有し、
情報セキュリティの活動に経営者を巻き込むことが必要です。
そして、経営者がバランスをとってセキュリティ投資ができるように
情報システム担当や情報セキュリティ担当が支援していかないと、
いつかは痛い目に合うでしょう。
そのためには、費用だけではなく、
しっかりとした組織運営と教育が必要です。

中小企業の経営者は、
情報セキュリティは、完全な解決が永遠にできない課題であることを
認識するべきでしょう。

2018年07月13日 (金)

青山システムコンサルティング株式会社

嶋田秀光