情報セキュリテイ管理教育とは

　今回は、技術経営の一貫としての情報セキュリテイ管理教育はどのように進めていけば良いかを考えます。

　現代では、情報セキュリティの脅威は「インターネット検索」だけではありません。標的型攻撃(APT: Advanced Persistent Threat)と呼ばれる、偽メールで特定ターゲットを狙い撃ちする攻撃など、悪意の第三者による脅威が悪質化、巧妙化、深刻化してきています。端的に言うと、脅威がやってくる入り口が増えてきています。そして、脅威へと開かれた出口も増えてきています。

　しかし、インターネットは脅威もありますが、メリットも相応に大きいでしょう。「集合知 (Collective Knowledge)」という考え方がありますが、インターネットには世界各国の人間からの情報が集まり、情報同士が融合して化学反応を起こしています。異質の情報の出会いが新たな情報を生み出している状況です。

　最近よく聞く「オープン･イノベーション」という話も、他社や他人のアイデアを広く集って、自社ビジネスに取り込むという発想です。また、情報の最新性ではインターネットが一番でしょう。ドッグイヤーの社会において、新聞や書籍などの紙媒体では情報が遅すぎる場合もあります。

　セキュリティ上のリスクがあるからといって、「インターネット鎖国」をしてしまうと、インターネットの果実も享受できないという側面があります。それに、「インターネット鎖国」をしたからと言って、セキュリティ対策が万全とも言い切れないのが今のご時世です。インターネットのメリットとデメリットを天秤にかけた上で、自社にとっての「落としどころ」を探っていくことが重要です。

　これらの事情を鑑みて、情報セキュリティ対策を検討する場合、「樽モデル」を理解することが重要です。

　「樽モデル」とは、情報セキュリティを樽に見立てた場合、「樽の板が一番欠けている箇所から水が漏れていく」ことを指します。つまり、「他の箇所のセキュリティがどれほど高かろうと、セキュリティが一番脆弱な箇所がボトルネックとなる」ことを意味します。

　セキュリティ対策としては、技術論が先行しがちですが、他にも次のようなことを検討する必要がありますので、例として参考にして下さい。