米国における
情報セキュリティー問題の現状-6-

さて、以下では、前項で分析した情報セキュリティの全体的トレンドからさらに進んで、それぞれの企業がIT資産を保護するために用いる措置を概観する。

(1)経営幹部の役割
　米国の大企業の多くには、最も責任ある役職の一つとして最高情報責任者（CIO：Chief Information Officer）のポストが設けられている。CIOは、企業のITリソース全般に関する次のような責任を最終的に掌握する役員である。

◆ 自社業務遂行のために必要なITリソースの確保
◆ 社内ITリソースの維持管理
◆ 社内ITのサポートに必要な人員の配備
◆ ITに関する全社的な将来見通しの検討

　これらの役割を通じてCIOが最終的に目指しているのは、ITリソースの安全性（security）、整合性（integrity）、可用性（availability）の保証である。CIOが企業の情報セキュリティに果たす責任は重大かつ広範であるため、彼らがセキュリティの重要性を十分に理解していない場合、その影響も深刻なものとなる。そのため、最近の米国のCIOはIT資産への脅威に進んで対抗する姿勢を身につけ、強力なリーダーシップを発揮しなければならなくなっている。具体的な活動内容には、次のようなものがある。

◆ 情報セキュリティに関する社内スポークスマンとしての活動。社内の全スタッフに対し情報セキュリティの確保・強化を呼びかけ、特に戦略的方向性やリソース配分を決定する経営幹部にセキュリティの重要性を認識させる。
◆ 情報セキュリティ業務（特にセキュリティの監視、統括、事故分析）を専門的に手がける部門の設置。
◆ 情報セキュリティ予算の確保。情報セキュリティの維持にはかなりのコストがかかるが、システムが問題なく機能している間は投資効果がはっきりと見えないため、まとまった予算を毎年投入することに社内から反発が起こりやすい。CIOは、軽視されがちなセキュリティにしかるべき予算が配分されるよう、積極的な後押しを行う。

(2)情報セキュリティへの取り組み
情報セキュリティに関する企業の取り組み姿勢は、大きく2通りに分類することができる。第1は、「わが社のIT資産に対する脅威には、どのようなものがあるか？」という問いからスタートする「脅威主体のアプローチ」である。このような脅威には様々な種類があるため、これらを完全に把握するためには、「攻撃する可能性のある主体」「その動機」「その方法」などに関し、徹底した情報収集と分析を行う必要がある。そして次に、予想されるあらゆる攻撃パターンから自社ITシステムを守る方策を考え、実施しなければならない。かつてのように、企業ITの重要性が現在よりもはるかに小さかった時代であれば、予想される攻撃主体やその方法も限られていたため、分析・対抗も比較的容易であった。しかし、現在のITは、多様性・複雑性・流動性において以前をはるかに凌ぐものとなっており、想定される脅威の種類を把握することは至難の業である。また、予想される無数の攻撃パターンに合わせて防禦策を組み立てれば、その内容はどんどん細かく厳密なものとなっていく。このような脅威主体のアプローチには、次のようなメリットとデメリットがある。

（メリット） ◆ 情報セキュリティ対策の要件が明確に定義されている。 ◆ システムが上記の要件を満たしているかどうかが比較的簡単にチェックできる。 ◆ 情報セキュリティ責任者は、主に所定のセキュリティ・システムの管理をすればよい。 （デメリット） ◆ 予めセキュリティ・システムの要件を定めることは容易でない。 ◆ 要件を満たすようなシステムの整備にコストがかかる上、場合によっては、適当な技術が存在しないこともある。 ◆ 情報セキュリティ責任者が、リスクの大きさに応じた柔軟な決定を下すことが難しい。 ◆ 技術の急激な変化について行きにくい。

　第2は、「わが社の情報セキュリティ・メカニズムが損なわれた場合、どんなリスクが生じるか？」という問いに発する「リスク管理アプローチ」である。このアプローチの柱となっているのは、IT資産が直面するリスクを「容認し難いもの」と「それほどでもないもの」とにふるい分け、自社予算が許す範囲内で現実的に対応するという発想である。第1のアプローチに比べ、分析的・実際的なこのアプローチは、具体的脅威を一つずつリストアップする代わりに、いくつかの共通するリスクを割り出し、それぞれを容認できるレベルに抑えるようなメカニズムを考え出すことを目指す。

　リスク管理アプローチの情報セキュリティ対策は、担当者にも、単にマニュアル通りにシステムを管理するのではなく、リスクの程度を分析的に判断し、適切な行動を取ることを要求する。また、固定的な状況における完璧な防禦体制を確立するのではなく、ダイナミックに変化する環境の中で一定水準以上のセキュリティを保つことを目指している。しかしそれゆえに、担当者が判断を誤ったり検討作業の継続を怠ったりすれば、セキュリティが維持できなくなるという問題もある。また、現実的な防禦策を目指すということは、どんなに有益であったとしても、予算に合わない一部の技術やシステムの導入は断念せざるを得ないということでもある。

　このように、情報セキュリティに関する2種類のアプローチには、それぞれ一長一短があることから、ベスト・ソリューションは、両者をバランスよく組み合わせることによって達成される場合が多い。企業にとって、ITリソースに対して想定される攻撃主体やその手段を知ることは、今日でもなお重要と言える。しかしそれと同時に、変化の激しい今日の技術環境にあっては、自社にとってのリスクを程度に応じて整理し、決められた予算の中で最適な対応を行うことも不可欠になっている。