知らないから漏えいする! 経費節約時代のセキュリティ対策

（3）体制によるセキュリティ対策のポイント
- 『対策をしない』という名のセキュリティ対策

情報セキュリティにおける「ノー・ガード戦法」について、聞いたことがあるでしょうか。これは、セキュリティ対策を“あえて行わない”ことを指します。普通に考えると、事件・事故が発生した際に大問題になり、企業ブランドを落としてしまい、取り返しがつかないことになりかねない、と思うでしょう。

こうした中、「うちの会社は、セキュリティ対策を、あえてやっていません」というユーザー企業に出会いました。よくよく話を聞くと、コーポレート・サイトに求人サイト機能やブログ機能、ECサイト機能があるのですが、個人情報や金銭にかかわる部分は、すべてASP（Application Service Provider）などのサービスを利用し、自社側には漏えいして困る情報を持たないことを徹底していました。

とはいえ、情報漏えい以外にも、Webサイトでは問題が発生します。これには、どう対処するのでしょうか。実は、これに対応するために、「問題が発生した際の体制」を事前に用意していました。組織体制が整っていることで、問題への対策を早急に行うことが可能になるほか、影響を最低限に抑えることができます。ノー・ガードと言いながらも、フットワークを軽くして、リスクを軽やかに回避しているのです。

現実的には、ある程度のセキュリティ対策を実施しながら、この企業の様に社外のサービスを使って｢リスクの転嫁」を図り、事件・事故が発生した際の体制を整え、想定できるリスクに対する対処方法をあらかじめマニュアル化しておくのがよいでしょう。これにより、被害を最小限に抑えることができます。

（4）怖いのはオールorナッシング。どれくらいやるのかが問題

セキュリティ対策は、限度がありません。100%に近づけようとすれば、加速度的に対策費用が増えていきます。

「あれも、これも、やらなくてはならない」と思い込む一方で、全部やるためには時間も予算も足りない。こうして結局、何もできなくて終わっていては、本末転倒です。

セキュリティの要件定義も、まったくやらなければ、それは0%です。ところが、他社で使っているセキュリティ要件定義書をそのまま流用しても、ある程度の効果があります。

大切な点は、「効果のある場所に、的確にセキュリティ対策を行うこと」です。何でも時間と金をかければよいというものではありません。

（5）最後は、人頼り

セキュリティに詳しい人を身近に作っておいて、困った時に相談する、というのも良い方法です。これを実現するためには、いくつかの方法が考えられます。

• 社内にセキュリティに詳しい人がいないか探してみる。
• 開発を担当している会社からセキュリティに詳しい人を紹介してもらう。
• セキュリティ企業が開催するセキュリティ・セミナーに参加する。
• 地元のセキュリティ勉強会に参加して、セキュリティに詳しい人を開拓する。
  情報セキュリティ系勉強会ポータル・サイト

このほかにも、いろいろ方法があります。個々のユーザーに合った方法で、人材交流を進めてみてください。思い切ってセキュリティ専門の企業に相談してみるのも、1つの方法です。意外と手ごろな値段で相談に乗ってもらえるかもしれません。

次回の「第2回 やってみなけりゃ分からない? WAFの「活用メリット」と「落とし穴」」に続きます。お楽しみに。