佐賀県で17歳の少年に不正アクセスされ個人情報がだだ漏れだった事件が起こってみたり、大手のWebサービスで個人情報想定よりも漏れてましたなど、情報セキュリティに関するニュースは事欠かないわけです。
そもそも、セキュリティに対する考え方がおかしいんじゃないかなーと思いますねー。
佐賀の事件だと
そもそも担当者が素人という話。
http://www.nishinippon.co.jp/nnp/saga/article/257034
行政であろうと企業であろうと素人が担当になることはよくある話で、ここを攻めてもなんにも変わらないのですよね。問題は決裁権を持つ人のセキュリティ意識。
何が問題なのかを把握すること、どのような措置を取る必要があるのかの判断するだけの知識が圧倒的に欠落しています。
おそらく管理側の教育を行うだけの時間も取らず、ゴリ押しで実装していったのでしょう。システム側では対応するための準備があったのかもしれませんが、予算も納期もきっちり決まっているため、システム制作側が対応できなかったというのが実際のところでしょう。
一般の企業だと
こんな統計が発表されていますね。
http://itpro.nikkeibp.co.jp/atcl/news/14/110601779/070400669/
コストがかかるという理由でノリ気ではない感じが見えます。コストがかかるのは当たり前で、各企業ごと内部のシステムが複雑に作られていて画一化されていないため、オーダーメイドのシステムが必要なわけです。その分コストは跳ね上がりますよね。
システムをシンプルに刷新することができればセキュリティを考慮しなければならない部分もシンプル化することが可能です。
一番の問題は「どこがゴールかわからない」というアンケート結果ですね。システムを運用していくということは常にセキュリティリスクと戦っていく必要があるわけで、ゴールなんてそもそも存在していません。
システムは作ったらおしまいという謎の思い込みが蔓延しているわけです。
Webサイト作成の場合でも作ったら管理は考えていない場合がほとんどで、「WordPressで改ざんされた」なんていう事例はほぼ管理側の問題で、アップデートをしていなかったり簡単なパスワードを利用していたりという、ちょっと詳しい人から見てもずさんな管理が引き起こしているのです。
じゃあどうすればいいのか
まずはシステムをシンプルに設計しなおしましょう。それが最大のコスト削減になります。システムのリプレイスが必要になるため一時的なコストはかかりますが、運用をシンプル化することができれば安全なシステムを利用し続けることができるようになります。
そして、常にシステムのアップデートを行えるような管理体制を取ることが大事です。システムの保守はおろそかにされてきましたが、専門家がきっちりと保守を行うことで少しでもリスクを回避できるようにしましょう。
あとは、ひとりひとりのセキュリティ意識をきっちり教育することが大事ですね。
まとめ
このご時世、一回問題を起こしたら信用回復するまでにどれだけの時間がかかるかはわかりません。最悪の場合、倒産するしかなくなるでしょう。なにか起こってからでは遅いのです。
経営者の人はそういう時代であることを強く意識し、リスクマネジメントを行う必要があるわけです。
一番のセキュリティホールは人なので、教育を怠らないことも重要な要素になります。
「安物買の銭失い」にならないように、勉強しないと痛い目にあいますよ。