第7回：セキュリティマネジメントは「統制可能なリスク」を管理することだ

セキュリティマネジメントの具体策に関心が向けられる一方で、「リスクマネジメント」と「セキュリティマネジメント」の混在に悩む企業が多い。企業が抱えるリスクをすべて洗い出して、それぞれに対策を施すことは不可能--そう考えて、具体策が進まないケースもあちこちで散見される。両者をどのように位置づけ、どのような体制でセキュリティ対策に取り組むべきなのか。 IBM ビジネスコンサルティング サービスのチーフ・セキュリティ・オフィサーである大木栄二郎氏が答える。

大木 栄二郎 氏 IBM ビジネスコンサルティング サービス　 チーフ・セキュリティ・オフィサー 昭和45年九州工業大学工学部電子工学科卒業。 昭和45年日本アイビーエム株式会社に入社。データセンターにて技術計算担当（技術解析のプロジェクトやソフト開発に従事）。 昭和55年大規模ネットワーク管理システム開発や、国際VAN の推進などネットワークサービスの拡充を担当。 平成5年コンサルティング事業部へ移籍。ネットワークとセキュリティを中心としたコンサルティングを担当。日本IBMにおけるセキュリティ・コンサルティングの分野を確立。数多くの企業のセキュリティ診断やポリシー策定などの経験を持つ。 平成8年、10年IBMコンサルティング・グループの全世界から毎年8件ほど選ばれる最優秀エンゲージメント賞を二度受賞。 平成11年IBMグローバルサービスSecurity & Privacy Services アジア太平洋地域担当兼務。 平成12 年内閣安全保障・危機管理室 セキュリティ対策WG 委員。サイバーセキュリティ調査研究委員会 委員（警察庁）。情報セキュリティマネジメント適合性評価制度委員会 委員（経済産業省）。 平成13年ISMSパイロット事業運営委員会 委員（経済産業省）。情報セキュリティ・ビジネスの発展と官民連携のあり方に関する調査研究会委員（総務省）。ネットワークリスクマネジメント協会（NRA） 幹事。メールマガジン『啓・警・契』編集長。 平成14年日本セキュリティマネジメント学会 理事。情報セキュリティ監査研究会委員 （経済産業省）。現在アイ・ビー・エムビジネスコンサルティングサービス株式会社 技術理事、パートナー、IBMアカデミー会員。日本セキュリティマネジメント学会理事、情報処理学会会員

セキュリティ対策は情報活用を阻害するのか
セキュリティ対策を3階層に分けて考える
セキュリティ意識を持つ社員とは何か

--いま「リスクマネジメント」や「セキュリティマネジメント」など、企業が持つリスクを洗い出し、マネジメントの中で対策を練っていくという議論が本格化しています。その一方で、「そもそも企業の持つリスクは膨大なもので、すべてに対処しきれない」という懸念の声も聞かれますが、こうした意見についてどう思われますか。

大木氏：　リスクマネジメントもセキュリティマネジメントも本質は同じですが、“マネジメント”という側面から考えると、リスクマネジメントとセキュリティマネジメントはかなり性格が異なります。リスクマネジメントとは、自社の責任で管理するのが難しい分野が中心と捉えると良いでしょう。たとえば地震や火災といった災害がこれに相当します。

　対してセキュリティとは、「自分たちができることをきちんとやって、それによって社員や情報や財産を守る」ということです。つまりリスクマネジメントとは、「自分たちがコントロールできないものの手当てを考えること」で、セキュリティマネジメントとは「自分たちができることをきちんとやる」ということです。こう考えると、セキュリティマネジメントは対応できる分野が限られているので、間口が狭いのです。その分、対策の具体性が問われるわけですね。例えば火災や地震などについては、根本的かつ具体的な対策を施すのが難しいので、保険などで手当てをする。一方、セキュリティマネジメントは合理的かつ具体的な対策となります。

　いま、市場の状況を見ていますと、企業内で「リスク委員会」や「セキュリティ委員会」を設置したり、ときにはその2つを設けたりするケースが増えてきました。両者の切り分けに悩まれている企業の方も多いようです。わたしは、一般的な幅広いリスクに関してはリスク委員会で対応し、その中で特に「セキュリティ対策」に限定した分野はセキュリティ委員会が対策を練る、とクロスさせてマネジメントしていくアプローチが適切だと思っています。

セキュリティ対策は情報活用を阻害するのか

--なるほど。「範囲が広すぎて、何から手をつけたらいいかわからない」という疑問はみなさんお持ちだと思いますが、これですっきり整理できますね。ただ「セキュリティ対策」に限定しても、必ず出てくる議論は「情報の利便性」と「管理」をどう並存させていくかという問題です。これについては、どのような見解をお持ちですか。

大木氏：　いわゆる「リスク判断をどうするか」ということですね。昨年も情報通信ネットワーク産業協会のセミナーで講演をしたのですが、そのときに「情報活用か情報管理か」という問題を取り上げました。実はこの考え方は現在も根強く残っています。

　情報活用というのは「情報を使うためにIT投資をしたのだから、情報を使いたい」という考え方。一方でセキュリティは、「情報を管理すると、使いにくくなる」という情報活用のアンチテーゼと位置づけられています。これは問題の基本的な捉え方が違っていますね。もちろん、対立するという側面もあるかもしれません。しかし、マネジメントでは、この2つを直線の両端と捉えるのではなく、両面から取り組むべきなのです。2次元の「面」の捉え方が重要になる。これが非常に難しいことは事実です。現実論としては、どうしてもどこかで妥協しなければならない関係に見えてしまいますからね。

　そこでどう考えなければならないかというと、よくいわれるのは「2つの軸は直交しているんだ」というものです。「活用も管理もできている」という状態と、「活用も管理もできていない」という考え方ですね。両立できている状態を目指すという捉え方をしていく必要がある。しかし、これはいままでの考え方からいうと非常に難しいんですね。コンフリクトマネジメントみたいな新しい考え方を導入しないとなかなか解決できない問題です。いままで「どちらか一方だ」という議論をしてきましたが、2軸の平面状の中で捉えて議論をしていくことで、新しいディスカッションやソリューションが生まれると思います。