セキュリティ対策については、体制作りから展開に至るまでさまざまな製品やサービスが出揃っている。にもかかわらず、なぜセキュリティ対策が進まないのか。IBMビジネスコンサルティング サービスのチーフ・セキュリティ・オフィサーの大木栄二郎氏は、日本人固有の原因として、「意思決定の難しさ」「被害未体験」「アカウンタビリティの欠如」「日本的風土と曖昧さ」の4つを挙げて説明する。
|
--第1回では、リスクマネジメントとセキュリティマネジメントの取り組み方から具体論にまで落とし込んで話していただきました。お話を伺うと、体制作りにしても、やるべき事柄にしても、だんだんと形が見えてくるのですが、実際にセキュリティ対策に取り組もうとするとなかなか難しいのが現状です。そこで今回は、なぜセキュリティ対策が進まないのかという部分に絞ってお話を伺いたいと思います。
大木氏: セキュリティ対策が進まない理由は、いくつか考えられます。2003年の情報通信ネットワーク産業協会の講演では、「なぜ対策が進まないか」ということでわたしは7つの理由を挙げました。「意思決定の難しさ」「被害未体験」「アカウンタビリティの欠如」「最新技術の理解不足」「慢性人材不足」「日本的風土と曖昧さ」「法制度等の不備」の7点です。この中で、特に日本企業にとって問題だと思われる「意思決定の難しさ」「被害未体験」「アカウンタビリティの欠如」「日本的風土と曖昧さ」の4つが特に重要だと思っています。
今日、「事故前提社会」というテーマが叫ばれております。ところがこれまでの日本企業は、性善説に基づいた考え方で業務プロセスを組み立ててきました。メうまくいって当たり前モで、事故が起こることを想定していないのです。しかし現在は、事故前提どころか、「事故が起こらざるを得ない」という状況です。まず、このことをしっかり認識して下さい。
ここ1年でセキュリティ事件が大きく取り上げられるようになりました。また、個人情報保護法の施行を前にして、コンプライアンスの一環としてセキュリティ対策を施す必要が出てきたためか、「事故前提」という思想に基づいた見直しが求められるようになりました。しかし、これまでメ悪い人はいないモという思想で構築してきた業務プロセスや経営理念を抜本から見直すのは非常に難しいのです。例えば欧米の企業と比較すると、情報のアクセス権限が日本企業の場合は圧倒的に広いのです。その情報を直接使わない部門のスタッフにも権限を与えている。個人情報漏えいの最大の原因は不十分なアクセスコントロールにあるといわれていますが、これではいつ何が起きても不思議ではありません。
しかも、日本企業はトップダウン型ではなくボトムアップ経営が根底にあるので、“抜本から見直す”と決めてもそれを貫徹できる体質がない。なぜこういう体質が欠けているのかといえば、「日本風土独特の曖昧さ」と「アカウンタビリティの欠如」があるためです。
この1年ほどでだいぶ変わってきたとは思いますが、やはり日本特有の曖昧さがセキュリティ対策のハードルとなっている感がありますね。
--セキュリティ対策がうまくいっている企業はあるのですか。
成功している企業と、そうでない企業とにはっきり二分されます。セキュリティ対策がうまくいっている企業は、一度事故を起こした企業です。わが事になれば、真剣に考えるわけですね。ですから、いまのうちに少し事故を起こし、対処して、真剣に考える風土を作っておくというのも手です(笑)。まあ、これは冗談ですが。
ただ、「わが事のように考えない」という姿勢が最も問題なのです。そこが日本的な曖昧さにつながると思います。誰が責任者でどういう判断を下したのかということが見えないでしょう。結果的に誰も責任を取らないし、追及しようとすると「まあ、まあ」と周囲が諌めてしまう。
欧米の企業ですと、情報へのアクセス権の設定やその見直しなど、適正なアクセス権を維持するために、かなりのコストを割いています。ところが日本の経営者の場合、「なぜそんなことにこれだけ投資するのか」となってしまうわけです。それは経営そのものが性善説に基づいているからです。抜本的な意思決定ができないのです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
大木 栄二郎 氏
昭和45年九州工業大学工学部電子工学科卒業。
トップの意思決定が不可能な理由