2016/7/22
「目からウロコのレイヤーズ経営通信」第39号/貴社のITセキュリティが漏れがちな穴とCSIRT -Part1-
ITセキュリティはもはや「一部情報の防備のみ専門家任せ」ではしのげない。
顧客情報以外の機密情報管理は事実上ザルではないか。
- ITセキュリティの対象は、顧客情報やメール、Webサイトだけではありません!
- 貴社の特許や図面といった戦略情報の管理は万全だと外部へ説明できますか?
ITセキュリティ事故に備え、貴社も対策には余念がないことと存じます。
多くの場合、ITセキュリティ対策はIT部門が担います。これは、「ITセキュリティにはITの専門知識が必要」という認識のためです。その一方で、IT部門の担当範囲は、基幹システム(製・販・物流・会計・人給、等)と、コミュニケーション基盤(メール・ネットワーク・ファイルサーバー、等)に限定していることが一般的でしょう。加えて、ITセキュリティの予算獲得にも苦労されてはいないでしょうか。
少し恐ろしい話をしますと・・・
A社は、独自設備と製品製法が製品価値に直結する企業でしたが、設備図面や製法等のIT情報管理は現場部門任せ
B社では、ファイルサーバーの容量割当が小さすぎ、機密情報を複合機のポートから個人のSDカードへ各人がバックアップ
このように、製品図面や設備図面、製造プロセスといった企業本来の機密情報を、「ITの専門知識が必ずしも十分でない」部門がやむなく管理している状態は、極めて危険です。インパクトは顧客情報漏洩の比ではありません。
どうすればよいでしょうか。(Part2へ続く)
株式会社レイヤーズ・コンサルティング
IT事業部 副統括マネージングディレクター
加藤 道隆