ゼロトラストの時代だからこそ信頼の基盤は人・組織にあり
ITが進展するスピードは常に想像以上に早い。それが、縁あって40年近くITに何らかで関わって来た私の実感だ。20代の頃は、プログラマーも経験した。その後、起業しITに関するビジネスも幾つか手掛けた。創業以来継続しているのは、企業や官公庁自治体などの組織体に対するIT活用支援である。それと連動して、情報セキュリティ対策支援のビジネスも20年以上行っている。
そんな中、最近特に思う事がある。
情報セキュリティ対策が必要だとは世間では騒がしくなってきた。これは、国家レベルであれば、サイバーテロ対策と言うことになる。一般の企業レベルであれば、組織体が保有する重要な機密情報に関して、事故があってはならいという話になる。つまり、情報漏洩や情報の悪用、情報の改ざんなど、IT社会が進展しているが故の厄介な話は増大する一方だ。メディアでもセンセーショナルにこの手のニュースを喧伝する。百戦錬磨の経営者といえども、何が正しいのか、どいいうやり方で、自社の情報セキュリティ対策を実践すればよいかの判断はなかなか難しい。
最近、耳慣れない言葉として、ゼロトラストがある。私なりに、業界的に直訳すると、何も信頼できないIT環境でどうやって情報セキュリティを守るかということになる。
クラウドサービスの利用者の拡大は増大する一方、少し落ち着いたとはいえ、コロナ禍の影響で在宅勤務を含むテレワークは今や当たり前になった。この両方が象徴的であるが、こういう形態は、インターネットを介して、外部から社内にアクセスする、あるいはその反対も含めて、社内と外部の境界がなくなって来たということだ。
専門的なことは割愛するが、少し前とは、情報セキュリティ対策の技術的、物理的対策のやり方が劇的に変わって来る、ということである。
この流れは、今後も変わらない。つまり、こういう世界は変わり続けるだろうことは、想像に難くない。情報セキュリティ対策をセグメント化すると、実は、技術的、物理的、人的、組織的に分けるのが一般的だ。今のようなDXブームになると、何でもかんでもテクノロジーという風潮があり、情報セキュリティ対策も技術や物理に関する対策が先行する。こういう部分で商売する側も売りやすいし、目に見えて効果が出るように思うからだ。もちろん、この部分の対策は最低限、必要である。一方で、もっと重要な部分が、人、組織である。
情報セキュリティ対策は、視点を変えれば、どんな組織にも不可欠なリスクマネジメントの一つなのである。組織体の種類や特性によって、リスクは様々だが、IT関連のリスク、労務管理、顧客取引、風評、自然災害など・・実に、私たちの経営環境や組織活動環境は、リスクだらけなのである。専門家のアドバイスも必要だし、もしリスクが顕在化した時の対処方法も普段から訓練しておかないといけない。このエッセンスは情報セキュリティ対策でも同じことである。
では、組織体が、リスクマネジメント力は強化するために大切な事はと聞かれたら、どう答えるでしょうか?
やはり、PDCAを安定的に回し続ける。言い換えれば、継続と習慣化であると言っても過言ではない。
私達は、2007年に、『情報セキュリティ対策は乾布摩擦だ!』という本を発刊している。ここに、私たちの考えやノウハウを凝縮している。この時からすると、冒頭でも少し書いたが、私たちのIT活用環境は劇的に変わった。これからは、加速度的に進化するのは間違いがない。悪意ある外部から侵入や悪事に対しては、技術的、物理的対策の強化は特に必要である。しかし、これは、いたちごっこの世界であるのは明白だ。テクノロジーによる攻めと守りの応酬は永遠のテーマである。一方、私達、人間は、10年や20年で劇的に進化するわけではない。ITが浸透していなかった時代から、私たち人間はさほど変わらない。しかも、IT環境を享受するのは仕事においても生活においても私たちなのである。
ゼロトラストの意味を読み替えると、信頼するべきは人間であり、情報セキュリティ対策の原点は、私たち一人一人の認識、スキルアップにあると言っても過言ではない。
以上