中小企業向け情報セキュリティの仕事をしていると、気になることが沢山あるのですが、
その中の一つに“過剰対策”があります。

私共に相談されるくらいですから、依頼組織の情報セキュリティ意識は比較的高いものです。
しかし、逆にだからこそ、勧められた情報セキュリティ対策を何でも実施しておこうとする。
そんな企業も多いのです。

情報セキュリティ対策は、やらなければなりません。
ただ、何をどこまでやるか、となると組織により違うはずです。
業種・取引先・規模・利益水準・社内人材等々、様々な要因によって
その組織のベストプラクティスは変わってきます。

ところが、ベンダーやコンサルタントに勧められるまま、
高価なセキュリティ対策ツールを導入しまくってしまうケースが見受けられます。

これは一概に悪いとも言い切れません。
管理がしやすくなったり、漏洩リスクが下がったりはしますから。
が、「本当に“今”優先的に必要だったのか」の観点からすると、
首を傾げたくなるケースが多々あることも事実です。

「すぐにやらなければいけないこと」と「やったほうが良いこと」の間には
経営マネジメントからすると大きな差があります。

情報セキュリティに拘り過ぎるあまり、過剰対策をして実業務に影響を来しては本末転倒です。
所詮、情報セキュリティ対策も経営リスクマネジメントの一つに過ぎないのですから。

実際のところ、日本の組織は「やらなすぎる」ところの方が圧倒的に多いのですが、
私共のサイトを閲覧される、セキュリティ意識をお持ちの組織様には
敢えて、過剰対策にならないことも意識していただきたいと思います。