事業責任者こそITセキュリティに関与すべき

 2001年夏、わずか2週間のうちに、世界中で数十万台に上るコンピュータが、ワームとして知られる小さな不正プログラム「コード・レッド」に感染した。このワームは、マイクロソフト製サーバー・ソフトに存在するセキュリティ・ホール[注1]から侵入したのだった。

 コンピュータ・ウィルスやワームに関して言えば、コード・レッドはそれほどタチが悪いものではない。ウェブ・ページは改ざんしたが、直接ファイルを破損させたり、破壊したりはしなかったからだ。

 それでもやはり、その被害は甚大だった。多くの企業でネットワークが使えなくなった。自社のホームページをオフラインに切り換えなければならない企業も出てきた。この後始末に要したコストは何と26億ドルと推定されている。

 あなたがほとんどのマネジャーと同じであれば、たぶんコード・レッドについては漠然とした記憶しかないだろう。コード・レッドに限らず、近年、ITネットワークに蔓延した他のウィルスやハッキングについても同様のことだろう。

 実のところ、あなたはおそらくITセキュリティにあまり注意を払わないのではないだろうか。やっかいな問題──大問題になる可能性もある──であることは承知していても、その対応に直接巻き込まれるのを避けてはいないだろうか。

 それは一つには、ITセキュリティは途方もなく複雑であり、専門的かつ技術的な知識がさまざまに必要とされるからだ。たとえば、バッファー・オーバーフロー攻撃[注2]について一部始終を学ぶ余裕のあるマネジャーがどこにいるだろうか。

 もう一つの理由として、セキュリティ侵害の大多数は、実はインサイダー、すなわち社内の人間が原因になっているという面もある。従業員の不注意によるもの、あるいは悪意を抱いた従業員の仕業である。

 それを未然に防ぐには、相当口やかましく徹底させる必要があるが、ほとんどのマネジャーは気乗り薄だ。理由の最後は「ITセキュリティは目に見えない」という点だろう。防御に成功したとわかるのは、何も起こらない時だけだ。