叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

経営資源と優先順位

企業は営利を目的として、事業活動を行う組織です。

よく経営資源の3要素として「人、物、金」といいます。そこに「情報」が加わることもあります。

企業は営利の追求を目的とすることから、経営資源のなかで何がいちばん重要かを書くなら「金」だと思います。

「金」が目的なら、ほかの資源は手段だと思います。

わたしは会社を経営した経験がないので、知人の小さな会社を経営してる社長の本音を借りますが、彼は「アタマのなかで8割から9割は資金のことを考えている」といいます。

ただ、どんな会社の社長さんも表立って「金がいちばん大事」とはいいません。

わが社は働く社員のことをいちばんに考えています。

わが社は良質な商品を提供します。

は、耳障りのよい言葉ですがー

わが社は利益をとことん追求します。

だと、下品で嫌な感じになります。

ですので、表面上は「金」とは言わず「お客様」という、経営資源には当てはまらない言葉で言い換えます。

わが社はお客様のことを第一に考えています。

お客様は企業に「金」を出すので、「お客様=金」なのですが、「金」を「お客様」に言い換えることで、耳障りはずいぶんよくなります。

いまは「人、物、金」以外に「情報」を経営資源とすることが多いと思いますが「情報」の役割は、

  1. 「情報」を活用することで「人、物、金」のリソースを強化する。
  2. 「情報」の安全を確保することで「人、物、金」を脅威から守る。

に大別すると考えてます。

「情報」は、経営資源の3要素である「人、物、金」に従属する要素だと理解できます。

ですので、まとめると経営資源の優先順位はこんな感じです。

  1. 情報

2番目と3番目は、会社の体質によって違うと思います。

社員同士のつながりを大事にして「人が事業を生み出す」風土の会社は、「物」より「人」の優先順位が高いといえます。わたしはこれを「文系会社」と思ってます。

技術開発への投資を積極的に行い「他社にはない独自性のある商品やサービスを生み出す」風土の会社は、「人」より「物」の優先順位が高いといえます。わたしはこれを「理系会社」と捉えてます。

ですので「理系会社」なら優先順位はこんな感じです。

  1. 情報

1番の「金」と4番の「情報」は揺るがないように見えます。

ところで、会社の情報セキュリティが脅かされると、事態は深刻です。

たとえば、ランサムウェア攻撃です。

以前のランサムウェア攻撃は、不特定多数にウィルス付きのメールをばら撒いて、メールを受信した人のパソコンにあるデータを暗号化するのが主流でした。

いまは、攻撃者が特定の会社や組織をターゲットとして、メールを含めたあらゆる手段を組み合わせたランサムウェア攻撃をしかけてます。ランサムウェア攻撃は、会社内のネットワークに侵入し、感染を拡大することで、会社の「人、物、金」に関わる機密情報を格納したサーバ上のデータを暗号化します。

暗号化の範囲がパソコンからサーバのデータにまで拡大したことで、被害はより深刻になります。

機密情報が暗号化されてしまっては、事業の継続ができません・・・。

攻撃者は暗号化したデータを復旧するには身代金を払えと脅迫します。

もしも、お金を支払わなければ、データを公開します。

と、脅迫をします。

被害を受けた会社はCSIRT(Computer Security Incident Response Team) を立ち上げ、自社でのデータ復旧にコストを注ぐでしょう。

CSIRTは「コンピュータセキュリティに関する事故対応チーム」です。情報システムのおけるセキュリティの問題に対応するために、専門のスタッフにより編成されたチームです。

バックアップデータにまで暗号化の被害が及んでいなければ、バックアップからの復旧がいちばん確実ですが、バックアップがされてなかったり、バックアップまで暗号化されてたら、暗号を解読するための鍵情報を見つけなければいけません。

経営者は決断しなければなりません。

  1. 機密情報・顧客情報が流出したことを公表する。
  2. 攻撃者に身代金を払ってデータを復旧させる。

いずれにせよ、企業の社会的な信用は失墜します。

情報セキュリティの脅威はランサムウェアのような外部からの攻撃だけに留まりません。

ここ数年、政府も企業もジョブ型雇用を進めています。ジョブ型雇用が進むと、雇用の流動化が起きます。雇用が流動化すれば、社員のあたまにある会社の機密情報・顧客情報が、別な会社に移動して、前の会社で得た機密情報・顧客情報を新たな会社で利用する可能性がとても高くなるでしょう。

人の移動による情報漏えいです。

このタイプの情報漏えいは、サーバやネットワークへの技術的な対策で阻止することはできません。

会社としては、情報セキュリティに関わる誓約書への署名や、セキュリティ教育を通じて、社員の意識を啓蒙する人為的対策で情報漏えいを防ぐような取り組みはしますが、効果は限定的でしょう。

現代の会社経営は「情報」に支配されている気もします。

「情報」は「人、物、金」に従属する資源だと思ってましたが「情報」が、経営を支配しているなら、

  1. 情報
  2. 人、物、金

と、資源の優先順位は逆転したのでしょうか!?