企業のセキュリティを強化するためには、現状を把握したうえで問題点を洗い出し、その問題点を改善する、もしくは強化が必要です。何事もそうですが、そしてその第一歩は「現状把握」から始まります。

その現状把握する手段がセキュリティ診断にあたりますが、さまざまなお客様と接してきた私の経験上、多くの企業ではセキュリティ診断の重要性をあまり認識されていないように感じます。さらに、一度実施したら十分というような感覚を持たれている方も多いようですが、それは大きな誤りです。そこで、セキュリティプランナーという立場から、本当の意味でのセキュリティ診断はどういうものなのかについて、解説していきたいと思います。

それではまず始めに、セキュリティ診断を行うことの意義について考えてみましょう。セキュリティ診断を行うことは、情報システムにおける弱点、脆弱性を発見し、それを改善することでセキュリティレベルをアップする一連のサイクル、その第一歩といえます。いわば、システムリスクを発見することが目的です。

では、このシステムリスクを発見／改善しないとどういうことになるのか、ここでひとつ例を挙げてみましょう。たとえば、昨今のニュースを騒がせている情報漏洩事件ですが、その根本となる原因の多くはシステムリスクにあるのです。

このケースでは、数百万人規模の個人情報が流出し、その原因は内部犯による情報の持ち出しとされています。そしてそれは、個人情報の管理システムおよびその周辺システム、ルール設定などにおいて不備（＝リスク）があったからなのです。

このように、システムリスクという穴が開いていたばかりに、億単位のお金やこれまで築いてきた信頼などが一気に流れ出てしまったということになります。この例からもわかるように、システムリスクには企業経営を危機に陥れるリスクと、莫大な金銭的リスクが潜んでいるのです。つまり、これからはシステムリスク＝経営リスクと捉えなければなりません。また、そうした認識をもってシステムリスクを診断（可視化）することが、経営面でのリスクヘッジにもつながるのです。

では、そうしたシステムリスクはどこにあるのでしょうか。ふたたび情報漏洩を例にとって考えてみますと、外部からの攻撃に備えてファイアウォールやIDSを導入していたものの、結局は内部の人間による犯行でそれらは役に立たなかったというのはよくある話です。

ならば、内部の人間に対するセキュリティを強化して、厳格な権限設定やアクセスコントロールを行ったとしましょう。しかし、外出した人間の不注意でPCをどこかに置き忘れてしまえば、そのPCから情報は流失してしまいます。これを防ぐためには、データの暗号化や利用時のバイオメトリクスによる認証などを行うことが必要でしょう。

このように、システムリスクは企業経営のあらゆるシーンにおいて存在しています。これを、自社ですべて洗い出すことはなかなか難しい作業です。そこで、利用するべきなのがプロによるセキュリティ診断です。自社のシステム管理者の作業負荷を軽減することはもとより、プロの視点による厳しい診断を行うことで、本当のシステムリスク（＝経営リスク）を顕在化することが可能となるのです。

次へ>>