自分の家の近所の治安が悪いので、ドアに鍵を２つ付けた。鍵を１つにするか、２つにするかは、誰が決めるべきなのでしょうか。

 

　一軒家なら我が家の判断。賃貸なら不動産やさんが予め考えているかもしれません。マンションでも分譲なら、まあ、これも不動産屋さんかもしれないし、マンションの自治会かもしれないし、そもそもセキュリティマンションってありますよね。

 

　組織の情報セキュリティも、家のセキュリティルールを決めるのも、所詮は考え方を決めるのは同じで、生活共同体の主体者なんじゃないかと思います。

　セキュリティに関する細かい技術がわからないから信頼の置ける業者のお任せサービスに入ってみたり、逆に技術も明るいメンバーがいるから、最低限押さえて置かなければいけないことのみを対策を取ったり。どちらでも正しいと思います。

　ただ、違ってそうなのは田舎では泥棒も居なくて鍵を開けていたり、ウチには取られるものはないからと戸締りは普通だったりであるうちを、治安が悪いところでやったり、家に大金を置いて戸締りをしないとかは違うなぁと。（一番いけないのは、やられてしまってから、大騒ぎして慌てて対策を打とうとすること。熟慮の時間もないし、売らんかなのベンダーさんのターゲットになるだけかもしれないし。）

 

　なのにセキュリティだとわかりにくいからというだけで、誰か外部の分かる人に何をすべきか指定してほしいとか、何をやって何をやらなくて良いか教えてくれとか。

　現場を見てからの回答ですね。人に決められると、（安全係数がかかって）高く付くかもしれませんよ。

 

　組織によっては、複数の会社の中で使う共通のセキュリティ基準があったりすると、「で、うちはどうすれば良いんですか」と繰り返し聞いてくる人が居る。わからないことを聞いて、とことん考えて対策を決めることはいいことです。グループ会社は仲間同士ですし、逆にグループ会社の脆弱性を突かれて、グループ全体の事業に影響が出ることもあるので、よくよく聞いて、しっかりと対策をする必要性も日に日に増すばかりです。グループ会社の脆弱性を突かれた例としては、以下のような事案があります。

 

　グループ会社の中には、重要インフラ事業者や、沢山の情報資産を扱っている企業が含まれていることがあります。各社で共通で情報セキュリティをやろうとすると、当然、厳しい方に基準を揃えるしかないですから、自然、共通基準は基準が厳しくなるのは必然的です。

　他方で、対して情報資産を持っていないところ（持っていないと主張している会社も含む）にとっては、「この共通基準は弊社には厳しすぎるのではないか。ここまでの対策を取っていられない。

　そういう社では、自社で必要な対策を立てれば良い、とも思います。最近はあちこちの会社でサイバー保険を出してくれていて、必要な補償をしてくれるみたいだし。

　参考までに、損保ジャパンのサイバー保険のページをみてみた。

　売上高5億円の企業のサイバー保険の保険料が６０００円弱～といった感じ（情報漏えい事故対応｜サイバー保険｜【公式】損保ジャパン）。年間で７．２万～。売上高の０．０１４％くらい？　だからといって、サイバー対策をしなくていいですよ、って保険ではないとは思いますけどね。

 

　で、話は最初に戻りますが、組織の情報セキュリティは誰がために行うのか。自社であり、グループ会社だったり、サプライチェーンで繋がっている各社全体の事業とのバランスも天秤に掛ける必要はあります。事故っても、保障されるからいいですという考えは、頻繁にセキュリティインシデントで事業が止まっている企業には、事業発注の相談の声がけ自体が出来ません。となると、基本的には、その会社で決めるしかないし、予め少しずつ進めておいたほうが、結局はリーズナブルだと思います