これは見習うべきことではあった

前に、出版文化社さんの運営する複数のサイトが汚染されていたという話をしたが、もう既に問題のあったソースは正常なものに置き換えられており、このように対策を施した旨のお知らせが掲示されている。JIS Q 27001 / JIS Q 15001 を運用する企業の情報セキュリティ担当者としては、見習うべき迅速な対応だったと評価できる。

もちろん、いつものように、従業員のマシンにウィルスがあって、そのマシンで FTP ソフトを使ったことに原因があったのだろう。

中小企業のマネジメントとして非常に難しいのは、

• 情報セキュリティ担当者や責任者が、人事や考課に影響を与えられない。
• 同じく情報セキュリティ担当者に、懲罰を含む牽制ができない。

という二つの理由に大きくよっている。早い話、一喝するくらいしかできないわけだ。これでは企業のマネジメントとして、コンサルタントの方々が口を揃えて言われるように、教育・研修を重ねるしかなかろう。あるいは別のやりかた、つまり業務フローを安全な手順に変更してしまうか、である。

ただ、ここでも情報セキュリティの部門がいつも「割を食う」のは、やはり自分たちの作業を中間段階で常に差し挟むようなフローにしてしまうのが安全だという話になりやすいことである。例えば今回のような事例があると、毎日 FTP サーバのアカウントパスワードを変更するといった手順に変えてしまい、情報セキュリティ担当者自身がアップロード作業を担当したり、アップロード作業の担当者のマシンを事前にチェックしてからパスワードを渡すといったフローになりがちである。

しかし、中小企業でそのようなフローを情報セキュリティの担当者が担うのは、何のインセンティブもない限りは落とし残したウンコみたいなサービス残業が毎日増えるだけでしかないし、そもそもそんな対策は「企業の」情報セキュリティマネジメントの目標に反しているのだ。当サイトで何度も言っているように、情報セキュリティ担当者のスキルが上がるだけで企業全体の脆弱性が簡単に下がるわけではない。

そして、多くの事例でお分かりのように、実は企業の情報セキュリティで最も大きなリスクを抱えているのは、情報セキュリティ担当者自身なのである。システム部長や情報セキュリティの担当者が企業の情報資産を一手に抱えているような状態は、もっとも危ないのだ。したがって、企業においては、理想として言えば全ての従業員が自社のリスクを分析・評価して管理策を向上・励行するくらいでなければならず、情報セキュリティ部門を他の部門できちんと監査し牽制できなくてはならないのである。