Business & Economic Review 2005年01月号
【STUDIES】
わが国企業の情報セキュリティ強化に向けて-アメリカ企業にみる情報セキュリティ対策のポイント
2004年12月24日 星貴子
要約
- このところ、アメリカでは、企業が被る情報セキュリティ侵害による被害が減少している。コンピュータウイルスなど外部からの侵害自体はいまだに多いものの、2003年に実害を受けた企業の割合は、ピーク時に比べて半減した。この最大の要因は、アメリカ企業が情報セキュリティの強化に積極的に取り組んできたことである。とりわけ、情報セキュリティ侵害による業務への被害が深刻化した2001 年以降、情報セキュリティの確保が企業経営の重要な基盤であるとの認識が強まり、情報セキュリティ強化に向けた取り組みが一段と活発化した。
- アメリカ企業がとくに重点を置いているポイントは継続的な情報セキュリティの強化である。なかでも、次の4点を柱に、情報セキュリティ強化に向けた取り組みが進められている。
第1は、防御システムの拡充である。多種多様な侵害に対抗できるように機能の異なったツールを複数組み合わせて二重、三重の防御システムが構築されている。さらに、新種のコンピュータウイルス、ワームの発生が一般化していることを受けて、複合的なセキュリティ技術の導入に加え、ツールの更新やパッチ(修正ソフト)の適用が一段と迅速に行われるようになった。
第2は、管理・運用体制の整備である。情報セキュリティに関する専門の組織・スタッフを配置するとともに、実際の対策に直ちに活用できるように具体的な指針・マニュアルを作成するなど、情報セキュリティを管理・運用する体制の整備が進められている。さらに、情報セキュリティに関する契約を締結するなど、取引先との関係においても情報セキュリティ体制の整備が図られている。
第3は、情報セキュリティ監査の活用である。監査法人やセキュリティサービス業者など専門機関を活用し、技術や設備にとどまらず、人員、規則、費用など幅広い観点から、定期的に情報セキュリティが検証されている。さらに、こうした検証によって明らかとなった脆弱性や課題をもとに、規則の作成や改定、導入技術の変更、人員の補強、セキュリティ教育の拡充、セキュリティ予算の調整など、総合的に情報セキュリティの改善が推進されている。
第4 は、情報の共有である。円滑かつ迅速に情報セキュリティの強化を推進するために、企業は、情報共有システムへ参画することによって、脆弱性や新種のコンピュータウイルスなどに関する注意情報のほか、モデル対策やベストプラクティスなど、様々な情報を随時入手し、自社の対策に積極的に活用している。 - 翻って、わが国企業は、防御システムを中心に情報セキュリティ体制の整備を進めているものの、継続的に情報セキュリティ強化を推進しているアメリカ企業に比べると、a.管理・運用体制の整備、b.情報セキュリティ監査の活用、c.情報の共有化など、その取り組みは必ずしも十分とはいえない。
こうした状況にあって、わが国でも、情報セキュリティ侵害による被害が深刻化してきている。
2004年に入り、DoS攻撃(サービス妨害)や外部からの不正侵入を誘発する悪質なコンピュータウイルスや大規模な情報漏洩・窃取事件など情報セキュリティ侵害が急増している。さらに、こうした侵害により、サービスや取引の中断あるいは事業の自粛といった実害を被る企業も増えている。今後を展望しても、新種の情報セキュリティ侵害手法の発生サイクルの短期化や企業間ネットワークの海外への拡大に伴い、国内のみならず海外からも、DoS 攻撃やシステム・データの破壊など悪質な情報セキュリティ侵害が急増し、被害がより一層拡大する危険性が高まることが予想される。
以上を勘案すると、アメリカ企業の取り組みと成果を踏まえ、わが国企業が一段と積極的に情報セキュリティを強化する必要性が高まってきているといえよう。