logo

第2回:情報セキュリティ対策が企業の価値を左右する

  • このエントリーをはてなブックマークに追加

ここ1年で、情報セキュリティに対する意識が高まってきた。ビジネスを円滑に進めるために情報やITが不可欠な現在、「利便性」と「セキュリティ」という相反する指標が求められるわけだ。利便性だけを追いかけてビジネスが成功しても、肝心のセキュリティ対策に不足があっては、企業ブランドの価値は下がる。日本ネットワークセキュリティ協会理事ならびに日本セキュリティ監査協会理事の井上陽一氏、経済産業省情報セキュリティ政策室の田辺雄史氏は、「情報セキュリティ対策が企業の格付けを変える日は近い」と話し合う。

-----------

井上 陽一 氏
日本ネットワークセキュリティ協会 理事
日本セキュリティ監査協会 理事
兵庫県生まれ。1963年4月日本電信電話公社(現 日本電信電話株式会社)入社。
1969年3月 日本電信電話公社 中央電気通信学園 大学部、1971年3月 神戸市立外国語大学 英米学科卒。
本社経理局、施設局勤務他を経て、1997年5月 株式会社ヒューコム取締役
2002年4月より代表取締役社長。
主な社外役職に、SEA/J(セキュリティ・エデュケーション・アライアンス・ジャパン)理事長、ブロードバンドセキュリティ委員会(経済産業省)統括主査、セキュリティ対策推進協議会(SPREAD)幹事、次世代超高速ネットワーク推進協議会(総務省郵政事業庁)委員など多数。

いたずらに事故を恐れる企業が多い

――第1回では、ここ1年の情報セキュリティ事故と企業の対応策から、日本企業の情報セキュリティに対する意識について総括していただきました。その中で、「ITの利便性とセキュリティの強度について、バランスを配分しながらビジネスを進める必要がある」というお話が出ましたが、その点について現在の企業はどのような認識があるのでしょうか。

井上: 我々JNSAでは、よく「セキュリティを陰の存在とするな」といっています。いま企業には、セキュリティに対する恐れ、引いては情報に対する恐れというのがあると思うのですよ。例えば、「外部に流出したら困るから、個人情報は取らない」とかね。

田辺: そもそも、個人情報の取得には「ビジネスを良くしよう、顧客サービスを改善して売り上げを上げよう」という目的があるはずなのですけどね。

井上: CRM(Customer Relationship Management)やSCM(Supply Chain Management)等のナレッジマネジメントは、顧客性向を解析し、顧客の側に立ったビジネスを追求することで、ビジネスの改善・向上を図ろうとするもののはず。「漏れたら恐いから、個人情報は取らないでおこう」というのは、成長し続ける企業の姿としては何か違うのでは、と考えてしまいます。

田辺: 経済産業省では、いま「ユーザーサイドのセキュリティ対策」に重点を置いた施策やガイドラインを策定しようとしています。これまではサプライサイド、つまりセキュリティ対策の製品やソリューションを提供する側に主導権が置かれていたわけですが、これからはそれを使う側の姿勢が問われるわけです。

井上: コーポレートガバナンスとしてセキュリティ対策をとらえるということですね。

田辺: そうです。コーポレートガバナンスとか、あるいはCSR(企業の社会的責任)の観点からセキュリティを考えていかないといけない。ただ、そのとき「経営者自身がセキュリティ対策についてよくわかっていない」という壁に突き当たるケースがあるのです。つまり投資判断ができないのです。そこで、どうしても「お金は出さないけれど、頑張ってセキュリティ対策をしてくれ」という“根性論”が出てくる。しかし事故が起こってからあわてて対策を練ったりソフトを導入したりしても遅いわけで、まず「事故前提社会」という認識に立って、事前に対策を立てておくことが重要なのです。

井上: JNSAでは「インシデントの被害調査」を行っており、その報告書ではインシデント被害額の算出式などを公開しています。

田辺: あれはなかなか興味深いですね。

井上: ありがとうございます。あの算出式も、企業が具体的に対策を立てる際の投資判断の目安に利用していただきたいと思っているんですよ。

田辺: そうしたセキュリティ投資に対する判断の目安は、時間が経てば市場で育っていくとは思いますが、セキュリティ技術の進歩は本当に速いので、ある程度までは国のサポートも必要なのではと思っています。そこで、「企業経営におけるIT事故に関する研究会」というものを早々に立ち上げ、その中で各種ベンチマークを設定したり、「IT事故データベース」というものを構築したりていこうという構想があるのです。

井上: いまはどの企業も、「どんな対策をどのレベルまでやればいいのか」と悩んでいる段階ですからね。ベンチマークの設定は大きな意味があると思います。

田辺: おっしゃる通りです。いま、ガイドラインや制度はあります。次に、「どこまでやればいいのか」というベンチマークと、実例を集めたデータベースでもって、「この程度だと、こういう事故が起きる可能性がありますよ」ということを示そうと考えているんです。

-PR-企画特集