先日、サイバーセキュリティに関する講演会で、ある人が言っていた。
サイバーセキュリティの強さは、一番弱い箇所で決まる、と。
例えば、日本全国・世界各国にある拠点をカバーするネットワークを持つ企業、社内ネットワークが関連会社をも含めた企業の場合、どうしても、セキュリティ体制が整わない場所、あるいは本社の考えるセキュリティ水準に達しない拠点があったとする。それは、予算の都合のあれば、当事者意識の低さの場合もある。理由は色々とあるであろう。
その場合、多くの拠点が60点以上、100点満点であったとしても、10点の拠点があれば、その企業のセキュリティ強度は10点になる。
セキュリティ強度の評価は、全拠点の評価の平均点ではなく、最低拠点の評価点で決まる。
考えてみれば、鎖だって切れる時は一番弱い箇所。例えば、鎖を鉄の鎖輪で作れば頑丈でしょうが、鉄製を鎖輪を9999個使って作ろうが、一箇所が紙でできていれば、鎖はそこで切れる。他がどんなに頑丈でも関係ない。
年金事務所の情報漏えいも、末端の事務所からでした。
末端だからセキュリティ対策はゆるくても良い、ということにはならない。
企業としては、平均点を上げることも当然ですが、最低点の底上げも必須事項です。
