第9回:「責任感の欠如」という最大のハードルを乗り越えるセキュリティ対策

IBM ビジネスコンサルティング サービス チーフ・セキュリティ・オフィサー 大木栄二郎氏2004年11月08日 14時00分

IBMビジネスコンサルティング サービスのCSOである大木栄二郎氏は、「日本特有の原因と責任を追及しない姿勢がセキュリティ対策を阻害する要因」と指摘する。何か問題が発生したとき、その原因はどこにあり、どのような改善策を施せばセキュリティが確保できるかを確かめる術がないからだ。この「責任感の欠如」という最大の課題を克服するにはどうすればよいのだろうか。

-----------

大木 栄二郎 氏
IBM ビジネスコンサルティング サービス  チーフ・セキュリティ・オフィサー
昭和45年九州工業大学工学部電子工学科卒業。
昭和45年日本アイビーエム株式会社に入社。データセンターにて技術計算担当(技術解析のプロジェクトやソフト開発に従事)。
昭和55年大規模ネットワーク管理システム開発や、国際VAN の推進などネットワークサービスの拡充を担当。
平成5年コンサルティング事業部へ移籍。ネットワークとセキュリティを中心としたコンサルティングを担当。日本IBMにおけるセキュリティ・コンサルティングの分野を確立。数多くの企業のセキュリティ診断やポリシー策定などの経験を持つ。
平成8年、10年IBMコンサルティング・グループの全世界から毎年8件ほど選ばれる最優秀エンゲージメント賞を二度受賞。
平成11年IBMグローバルサービスSecurity & Privacy Services アジア太平洋地域担当兼務。
平成12 年内閣安全保障・危機管理室 セキュリティ対策WG 委員。サイバーセキュリティ調査研究委員会 委員(警察庁)。情報セキュリティマネジメント適合性評価制度委員会 委員(経済産業省)。
平成13年ISMSパイロット事業運営委員会 委員(経済産業省)。情報セキュリティ・ビジネスの発展と官民連携のあり方に関する調査研究会委員(総務省)。ネットワークリスクマネジメント協会(NRA) 幹事。メールマガジン『啓・警・契』編集長。
平成14年日本セキュリティマネジメント学会 理事。情報セキュリティ監査研究会委員 (経済産業省)。現在アイ・ビー・エムビジネスコンサルティングサービス株式会社 技術理事、パートナー、IBMアカデミー会員。日本セキュリティマネジメント学会理事、情報処理学会会員

--前回のお話の最後に、企業・組織のセキュリティ対策を阻害する要因として、「アカウンタビリティの欠如」「日本的風土と曖昧さ」を特に大きなものとして挙げられていましたね。

大木氏: 日本人の体質は「集団無責任」です。よく建前と本音を使い分けるでしょう。例えばセキュリティ事故が起こったとき、原因や責任者を追究すると、必ず横やりが入りますよね。善人だけで成り立っているムラ社会であればそういう考え方もあり得ますが、今日のビジネス環境でその状況は考えられません。

 具体的に申し上げると、日本企業の多くは就業規則にセキュリティに対する考え方や罰則もきちんと書いていません。そこで何か事が起きると、急きょ設置された情報セキュリティ委員会等々の裁量に任されてしまいます。そこを曖昧にせずに、管理し、改善につなげていくことが必要なのです。「まあ、いいじゃないの」という体質のままでは、改善したくてもそのポイントが見えないのです。これがセキュリティ対策を阻害している要因です。

--「アカウンタビリティの欠如」というのは?

大木氏: これは非常に大きなポイントです。いま「集団無責任」と申し上げましたが、そこが非常に曖昧なのです。日本企業の中でも、CSOを任命したりセキュリティ組織を作ったりと積極的に取り組む企業が増えましたが、根幹である「どういう考え方に基づいて、どういう責任分担をやっていくか」という「責任配置の設計」でその曖昧さが残っています。ですから説明責任を果たせない。結果、「まあ、いいじゃないの」という無責任体質につながっていくと思われます。

セキュリティ責任を持つべき部署はどこか

--責任分担の考え方ですが、日本人固有の曖昧さを加味しなくても、非常に難しいと思われます。曖昧さや無責任文化、アカウンタビリティの欠如といった風土を考慮して、責任分担を考えた際に、具体的にどのような取り組みが必要なのでしょうか。

大木氏: 一番のポイントは、「情報がなければ事業ができない」と認識することです。ですから、事業の責任者は事業で使う情報に責任を持つ必要があります。このような責任配置をしていただかないと、セキュリティ対策はうまくいかないのではないでしょうか。セキュリティ委員会のように別に組織を立てて、そこが全部の責任を負うということはあり得ないと思います。

 ところが多くの企業では、事業ラインの中で責任を持っている担当者と、セキュリティの責任を持っているところとの間で責任や役割分担ができていないのです。セキュリティ委員会など、別組織を立てているケースでは特にその傾向が強い。

 昔は事業部門とIT部門の間の責任分担も曖昧でした。ちょうどセキュリティでも同じことが起きています。いま「会社業務の中で大切な情報について、いくら投資をしてどのように守っていくか」ということは、実はIT部門が予算を立てて管理しているのですね。事業部門は関与していないのです。

 ですから、ここで「事業部で扱う情報の責任は事業部で負いなさい」といわれると、途端に反撃に遭うと思います。いわく、予算がないし、そもそもIT部門が作ったシステムを使っているだけなのでセキュリティ対策など立てようもない、などなど。つまり責任がどこにあるかが曖昧なまま、形だけ対策を行おうとしているのが問題なのです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]