第7章 守っているつもりだった
noc_admin表示言語 (Display language)
Security was not something to be added at the end.
きっかけは、何気ない一言だった
クラウド移行が一段落し、運用も少しずつ落ち着いてきた頃、私は久しぶりに、社内のセキュリティ関連資料を開いていた。正直に言えば、これまでセキュリティは「大きな問題が起きていない限り、深く触れないもの」という位置づけだった。
対策はしている。ウイルス対策ソフトも入っている。アクセス制限も、最低限はかけている。だから、守れていないとは思っていなかった。ある日、外部の勉強会に参加したときのことだ。登壇者が、こんなことを言った。
「セキュリティ事故の多くは、攻撃されたから起きるのではなく、“分かっていなかった”から起きます」
その言葉が、なぜか強く心に残った。自分たちは、本当に分かっているのだろうか。何を守っているのか。どこまで守れていれば十分なのか。もし何か起きたら、誰が判断するのか。
セキュリティは「設定」ではなかった
クラウド環境を見直してみると、技術的な対策は、確かに入っていた。「認証」、「アクセス制御」、「ログ取得」だが、それらが「なぜそうなっているのか」説明できるかと言われると、自信がなかった。
この設定は、何を想定しているのか。このログは、誰が、いつ見るのか。答えられない項目が、思った以上に多かった。
一番の問題は、「何を守るべきか」が言葉になっていなかったことだと気づいた。
顧客情報、業務データ、システムそのもの、漠然とは分かっている。だが、「どれが最優先なのか」「失われたら、どこまで影響が出るのか」そこまで整理できていなかった。それは、セキュリティを“技術の問題”として扱っていたからだ。中小企業にとっての現実的なセキュリティは、すべてを完璧に守ることはできない。中小企業では特にそうだ。人も時間も限られている。だからこそ、守る対象と、守り方を選ぶ必要がある。どこまでを必須とするのか。どこからはリスクとして受け入れるのか。それを決めずに、ツールだけを増やしても、安心は増えない。
Securityは、後から足すものではなかった
これまでの章を振り返ってみると、セキュリティの話は、常に「後回し」にされがちだった。
まず移行。
まず運用。
まず安定。
だが、実際には違っていた。いずれの工程においても、ずっと関わっていた。ただ、それに名前を付けていなかっただけだ。それ以来、私はセキュリティを「守れているかどうか」ではなく、「説明できるかどうか」で考えるようになった。
なぜ、この制御が必要なのか。
なぜ、この権限は制限しているのか。
なぜ、このログを残しているのか。
説明できない対策は、運用できない対策だ。セキュリティは、単独の章として語るには、少し扱いにくいテーマかもしれない。だが、避けて通れるものでもない。
この章は、これまでの流れの中に静かに差し込まれるべきものだった。
コラム:「対策している”という思い込みが生んだもの」
セキュリティは、専門部署や高度な技術が扱う領域だと距離を置かれがちだ。だが中小企業の現場では、Securityを“後で足すもの”として扱った結果、日常業務の延長線上で問題が表面化することが多い。以下は、国内の中小規模組織で実際に起きた事例である。
- 事例①
- 事例②
- 事例③
- 事例④
アクセス制御は設定したが、業務変更を反映していなかった
従業員約110名の製造業では、クラウド移行時に厳格なアクセス制御を設定したが、部門再編や業務変更のたびに見直しが行われなかった。結果、実態と合わない権限が放置され、誤操作によるデータ削除が発生。
Securityは設定した瞬間ではなく、業務が変わるたびに見直す必要がある。
委託先任せにしたことで、責任の所在が曖昧になった
サービス業(従業員約70名)では、クラウドとセキュリティ運用を外部ベンダーに一任していた。インシデント発生時、「どこまでが委託範囲か」が分からず初動が遅延。結果、顧客への説明も後手に回った。
委託は責任移転ではなく、役割分担であることを整理していなかった。
バックアップはあったが、復旧手順を試していなかった
卸売業(約140名)では、セキュリティ対策の一環としてバックアップを取得していたが、復旧テストを一度も行っていなかった。実際の障害時、復元に想定以上の時間がかかり、業務停止が長期化した。
守るとは、戻せることまで含めて考える必要がある。
インシデント対応を想定せず、現場が沈黙した
IT専任者のいない企業では、「何かあったら連絡する」という曖昧なルールしかなかった。小さな異常が起きた際、現場は判断できず対応を先送りし、結果的に被害が拡大した。
セキュリティは、技術よりも“判断の段取り”がものを言う。
