完全な情報セキュリティは存在しない
【質問】
リスクに対しては費用度外視で「完全なセキュリティ」を求められる場面が多いです。掛けられる費用等に制限がある中、ベストプラクティスとしてどのような対応を取るべきか教えてください。
【答え】
マネジメント層の情報セキュリティに対する認識が低いというのは、議会・行政だけではなく、民間企業でもよく聞く、古くて新しい問題ですね。また、事実誤認をしている人も少なくないことがより問題を厄介にしています。
前提として、「完全な情報セキュリティは存在しない」という点から情報セキュリティ対策の検討が始められると良いと常日頃感じています。業務効率化と情報セキュリティ対策は多くの部分でトレードオフの関係にあり、情報セキュリティ対策はリスクの許容度に関する意思決定のプロセスと言い換えることができると思います。いかに業務効率性と情報セキュリティの均衡を図るかが大切です。
まず、マネジメント層の意識面での改善を図るためには、情報セキュリティに関する基本的な研修を受けてもらうことが第一歩だと思います。その際に、情報セキュリティ対策は日進月歩で日々変化していることも理解してもらうことが大切です。
例えば、いまだにクラウドよりもオンプレミスの業務システムが堅牢であると信じてやまないマネジメント層は少なくありませんが、これは明らかに事実誤認であり、事実誤認から政策決定をされると、逆に情報セキュリティ対策が脅かされかねません。
また、完全なセキュリティ対策を求める方々には、自動車の事例を引き合いに出すとわかりやすいかもしれません。自動車事故が世の中からなくなることは、人間による運転である限り困難であり、社会として自動車事故の可能性を受け入れながら、様々な安全対策を講じることで、事故を抑制しています。
次に、技術面についてですが、情報セキュリティ対策の手法は本当に進化しています。一方で、行政の情報セキュリティ対策は、それに追いついておらず、小さな自治体では人員不足から、10年以上前からセキュリティポリシーの更新すらしていないところがあります。
近年注目されているのは、「ゼロトラスト」という対策です。内容は詳述しませんが、今後テレワーク等が行政業務でも一般化する中で有効な手法のひとつです。
回答者:菅原直敏(自治体DX白書.com共同編集長/磐梯町CDO)
