第8回：セキュリティ対策が進まない最大の原因とは

セキュリティ対策については、体制作りから展開に至るまでさまざまな製品やサービスが出揃っている。にもかかわらず、なぜセキュリティ対策が進まないのか。IBMビジネスコンサルティング サービスのチーフ・セキュリティ・オフィサーの大木栄二郎氏は、日本人固有の原因として、「意思決定の難しさ」「被害未体験」「アカウンタビリティの欠如」「日本的風土と曖昧さ」の4つを挙げて説明する。

大木 栄二郎 氏 IBM ビジネスコンサルティング サービス　 チーフ・セキュリティ・オフィサー 昭和45年九州工業大学工学部電子工学科卒業。 昭和45年日本アイビーエム株式会社に入社。データセンターにて技術計算担当（技術解析のプロジェクトやソフト開発に従事）。 昭和55年大規模ネットワーク管理システム開発や、国際VAN の推進などネットワークサービスの拡充を担当。 平成5年コンサルティング事業部へ移籍。ネットワークとセキュリティを中心としたコンサルティングを担当。日本IBMにおけるセキュリティ・コンサルティングの分野を確立。数多くの企業のセキュリティ診断やポリシー策定などの経験を持つ。 平成8年、10年IBMコンサルティング・グループの全世界から毎年8件ほど選ばれる最優秀エンゲージメント賞を二度受賞。 平成11年IBMグローバルサービスSecurity & Privacy Services アジア太平洋地域担当兼務。 平成12 年内閣安全保障・危機管理室 セキュリティ対策WG 委員。サイバーセキュリティ調査研究委員会 委員（警察庁）。情報セキュリティマネジメント適合性評価制度委員会 委員（経済産業省）。 平成13年ISMSパイロット事業運営委員会 委員（経済産業省）。情報セキュリティ・ビジネスの発展と官民連携のあり方に関する調査研究会委員（総務省）。ネットワークリスクマネジメント協会（NRA） 幹事。メールマガジン『啓・警・契』編集長。 平成14年日本セキュリティマネジメント学会 理事。情報セキュリティ監査研究会委員 （経済産業省）。現在アイ・ビー・エムビジネスコンサルティングサービス株式会社 技術理事、パートナー、IBMアカデミー会員。日本セキュリティマネジメント学会理事、情報処理学会会員

トップの意思決定が不可能な理由
法律でどこまでセキュリティ意識を高められるか

--第1回では、リスクマネジメントとセキュリティマネジメントの取り組み方から具体論にまで落とし込んで話していただきました。お話を伺うと、体制作りにしても、やるべき事柄にしても、だんだんと形が見えてくるのですが、実際にセキュリティ対策に取り組もうとするとなかなか難しいのが現状です。そこで今回は、なぜセキュリティ対策が進まないのかという部分に絞ってお話を伺いたいと思います。

大木氏：　セキュリティ対策が進まない理由は、いくつか考えられます。2003年の情報通信ネットワーク産業協会の講演では、「なぜ対策が進まないか」ということでわたしは7つの理由を挙げました。「意思決定の難しさ」「被害未体験」「アカウンタビリティの欠如」「最新技術の理解不足」「慢性人材不足」「日本的風土と曖昧さ」「法制度等の不備」の7点です。この中で、特に日本企業にとって問題だと思われる「意思決定の難しさ」「被害未体験」「アカウンタビリティの欠如」「日本的風土と曖昧さ」の4つが特に重要だと思っています。

　今日、「事故前提社会」というテーマが叫ばれております。ところがこれまでの日本企業は、性善説に基づいた考え方で業務プロセスを組み立ててきました。ﾒうまくいって当たり前ﾓで、事故が起こることを想定していないのです。しかし現在は、事故前提どころか、「事故が起こらざるを得ない」という状況です。まず、このことをしっかり認識して下さい。

　ここ1年でセキュリティ事件が大きく取り上げられるようになりました。また、個人情報保護法の施行を前にして、コンプライアンスの一環としてセキュリティ対策を施す必要が出てきたためか、「事故前提」という思想に基づいた見直しが求められるようになりました。しかし、これまでﾒ悪い人はいないﾓという思想で構築してきた業務プロセスや経営理念を抜本から見直すのは非常に難しいのです。例えば欧米の企業と比較すると、情報のアクセス権限が日本企業の場合は圧倒的に広いのです。その情報を直接使わない部門のスタッフにも権限を与えている。個人情報漏えいの最大の原因は不十分なアクセスコントロールにあるといわれていますが、これではいつ何が起きても不思議ではありません。

　しかも、日本企業はトップダウン型ではなくボトムアップ経営が根底にあるので、“抜本から見直す”と決めてもそれを貫徹できる体質がない。なぜこういう体質が欠けているのかといえば、「日本風土独特の曖昧さ」と「アカウンタビリティの欠如」があるためです。

　この1年ほどでだいぶ変わってきたとは思いますが、やはり日本特有の曖昧さがセキュリティ対策のハードルとなっている感がありますね。

--セキュリティ対策がうまくいっている企業はあるのですか。

　成功している企業と、そうでない企業とにはっきり二分されます。セキュリティ対策がうまくいっている企業は、一度事故を起こした企業です。わが事になれば、真剣に考えるわけですね。ですから、いまのうちに少し事故を起こし、対処して、真剣に考える風土を作っておくというのも手です（笑）。まあ、これは冗談ですが。

　ただ、「わが事のように考えない」という姿勢が最も問題なのです。そこが日本的な曖昧さにつながると思います。誰が責任者でどういう判断を下したのかということが見えないでしょう。結果的に誰も責任を取らないし、追及しようとすると「まあ、まあ」と周囲が諌めてしまう。

　欧米の企業ですと、情報へのアクセス権の設定やその見直しなど、適正なアクセス権を維持するために、かなりのコストを割いています。ところが日本の経営者の場合、「なぜそんなことにこれだけ投資するのか」となってしまうわけです。それは経営そのものが性善説に基づいているからです。抜本的な意思決定ができないのです。