セキュリティ対策で最初に行うべきは人材育成だと言われているのをご存知ですか？

情報セキュリティと聞くと反射的にセキュリティシステムやソフトウェアの導入を思い浮かべるかも知れません。しかし、最初に行うべきはセキュリティ統括責任者の教育です。

今回は過去の情報セキュリティインシデントを例に、
「なぜセキュリティ対策で最初に行うべきは人材育成だといわれているのか」
を解説していきたいと思います。

事例1：研究機関

社内サーバへ不正アクセスされ、多数の研究情報が漏えいした。

主な原因はFW内の社内サーバへ、外部レンタルサーバのウェブサイトからアクセスが可能になっていたことですが、通常このようなシステム設計はありえません。
研究機関であればなおさら、外部のレンタルサーバ上のウェブサイトから内部サーバへのアクセスができるような設計にはしません。
しかしこの研究機関の一部の研究用ウェブサイトはこのような脆弱性のある設計になっていたため、外部のレンタルサーバ経由で内部サーバのOSを操作されてしまい、情報を不正に持ち出されてしまいました。

原因：
→セキュリティ統括責任者がセキュリティに詳しくなかったため、このようなリスクの高いシステム設計を許してしまったこと。

事例2：決済代行業

2017年初頭に猛威を振るったApache Struts2の脆弱性をついた不正アクセスにより、顧客のクレジットカード番号が漏えいした。

Apache Struts2のアップデートを行うだけで防げた攻撃ですが、未だに対応が遅れている企業が残っています。企業の言い分はこうです
「Apache Struts2のアップデートを行ってシステムが不具合を起こしたら、営業ができなくなる。」
確かに営業ができなくては、企業は事業運営に支障をきたしてしまいます。しかしその運営とは、顧客の情報を危険にさらしてまで行わなければならないものなのでしょうか。

実際には現時点にいたってもなおApache Struts2のアップデートが行われていない企業があるようです。しかしながらそのような状況を正確に理解し、そのリスクの高さを認識しているセキュリティ統括責任者はどのくらいいるでしょうか。対策がサーバの保守点検業社にまかせっきりになっているケースが多いのではないでしょうか。

建設現場やメーカーでは「安全第一」という標語をよく目にしますがこれには続きがあり、「品質第二、生産第三」と続きます。これはかつて主流だった「生産第一、品質第二、安全第三」という考え方を見直した際にできた言葉ですが、情報セキュリティの面で言うと
「安全第一、運営第二、利益第三」であるといえます。しかし実際に行われているのは
「利益第一、運営第二、安全第三」でしょう。

この様な考え方はリスクマネジメントでは考えられません。
しかしこういった状況は、一度陥ってしまうと抜け出すのは難しくなります。
なぜなら安全第一を目指すと必ず生産や利益に影響を与えるからです。
なので、安全第一は事業の計画段階で最初に意識しなければならないものなのです。

JPACではセキュリティ統括責任者の育成を支援しております。
広範な知識とマネジメント力を備えた人材で、企業と顧客の情報資産を守りましょう。