セキュリティ対策を実施した際によく「これでセキュリティは完璧ですか?」と言われることがあります。

結論から言います。完全なセキュリティというのは存在しません!

※今回のセキュリティは、外部からの不正侵入や情報漏洩のみとします。

何故完全なセキュリティはないのか?

不正侵入について

インターネットに繋がっている以上、不正侵入のリスクは必ず存在します。脆弱性については、今は発見されていなくても何れ発見されるという場合も存在します。また、攻撃の方法も増えており、今では信じられないような方法も搭乗するかもしれません。このような理由により、不正侵入を完全に塞ぐことはできません。

情報漏洩について

これについては、何をしようが防ぐことはできません。情報は人が扱っています。例えば顧客情報を印刷し、これを業務外で従業員が持ち出します。これで情報漏洩となります。また、印刷禁止としたとしても、スマホなどで写真を撮れば、情報を持ち出すことが可能です。よって、従業員による情報漏洩は0にすることは不可能です。

セキュリティ対策として何をすればいいのか?

セキュリティはリスクです。リスクへの対応は軽減、移転、保有の3種類あります。先の「セキュリティを完全にするのが不可能」というのは「リスクをゼロにするのが不可能」ということです。

では、どうしたらよいのかということです。

まずはリスクを低減します。リスクは最初は急激に減りますが、ある一定以上になると低減しにくくなります。従って、どの程度コストをかけるかを決定します。

その後、残りのリスクを移転します。これは、いわゆる保険や外部委託により、自社からリスクを減らすことをします。

また、リスクが受け入れ可能なレベルであれば、そのリスクをそのままとするリスク保有という方法もあります。

まとめ

セキュリティに対するリスクは必ず存在します。 そのリスクをどのように取り扱うのか検討してください。解らなければ、専門家へ相談をお勧めします。