Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

企業の情報セキュリティは複数の方法を使い分けるべき~山口英氏講演


 東京・帝国ホテルで開催された「NTT Communications Forum 2004」で26日、奈良先端科学技術大学院大学教授であり、内閣官房情報セキュリティ補佐官も務める山口英氏が基調講演に登場。個人情報保護法の全面施行を来年に控えて多くの企業が情報セキュリティ体制の整備に大わらわになっている現状を踏まえ、今、企業における情報セキュリティに最も求められるものは何かについて、「今日は大学の教官の立場で」(山口氏)見解を発表した。


自社の事情に即した独自のポリシーを定めつつ、複数の方法を使い分けるべき

奈良先端科学技術大学院大学教授で、内閣官房情報セキュリティ補佐官も務める山口英氏
 山口氏はまず、「なんのためにコンピュータやネットワークを使っているのかという目的をきちんと考えないと、そもそも情報セキュリティの意味がわからなくなる」「情報セキュリティ体制の整備は世間体を保つために行なうものではない」と語り、今や多くの企業においてコンピュータやネットワークがない状態で業務を遂行することができない状況になっていることを指摘した。

 この流れは、1980年代後半から進展しつつある、いわゆる“情報化”の流れの結果生まれたものとの前提に立った上で、山口氏は「『情報化=コンピュータを使うこと』と考えていては誤りで、実際にはどのようにコンピュータを使って業務を行なっていくか、あるいはどのようにデータを処理し流していくのかを考える必要がある」と説明。結局情報化の究極的な目的は「企業の利益の最大化」「業務の円滑化やコスト低減」「顧客満足の向上」といったところに帰着すると語った。

 その上で山口氏は「この前提に立てば、情報セキュリティ対策として何を行なうべきかは明らかだ」として、情報セキュリティ対策に求められるのは単に情報の流出を守るといったことではなく、企業としてのビジネスの継続性を妨げるようなさまざまなリスクをいかに軽減するかという、企業全体としての危機管理の一環として業務を見直すことだと主張した。

 さらに山口氏は、これまでのいわゆるBPR(Business Process Re-engineering)においては、主にコストダウンや利益率の改善、キャッシュフローの最大化といった観点からのみ業務の見直しが行なわれてきたのに対し、情報セキュリティ対策が「ビジネスのリスクを下げるという観点から組織を見直す大きな軸」だと述べる。そういう視点に立てば、「決して情報セキュリティはコストセンターではない」と語った。


問題の発生頻度と被害額、適当な対策を図示したマトリクス
 では、企業としては具体的にどのような形でセキュリティポリシーを定めればいいのか。この点について山口氏は、「業務を捨ててまでセキュリティを守るのは本末転倒」と述べ、各企業ごとに異なる業務とリスクの関係を評価して「相当知恵を絞らなければいけない」という。すなわち、各社の事情に合わせた独自のセキュリティポリシーを定めなければならないというわけだ。また、その際には「セキュリティポリーは組織哲学を誰もがわかるように書いたものでなくてはならない」とも述べ、過度に社員の行動を抑制することがなく、情報を守りつつも社員の独創性を伸ばしていくことができるようなものにすることも重要だと語った。

 最後に山口氏は、「情報セキュリティは何も自前ですべてを引き受ける必要はなく、問題の発生頻度とその被害額に応じて対応を変えていくべき」と述べ、いわゆる情報セキュリティで対応すべきなのは、発生頻度が高い割に1回あたりの被害額が少ない部分に限るべきだと主張した。それ以外の「頻度・被害額ともに高い部分にいては、そもそも業務のやり方を変えて、そのような情報を扱わないようにすべき」「頻度は低いが被害額が大きいようなものについては、保険などの方法でリスクヘッジするほうが適している」と説明。複数の方法を適宜使い分けるほうがよいと指摘して講演を終えた。


問題の本質を理解せずに、ただ煽るだけのメディアにも問題がある

NTTコミュニケーションズ取締役・セキュリティバリュープレジデントの遊佐洋氏
 講演後は、山口氏とNTTコミュニケーションズ取締役・セキュリティバリュープレジデントを務める遊佐洋氏との対談に移った。遊佐氏が同社内におけるセキュリティの取り組みなどを紹介しつつ、引き続き企業におけるセキュリティの問題が語られた。

 その中で遊佐氏が「企業として、いったいセキュリティにどこまで投資すればいいのかを費用対効果という尺度で測ることが難しくなっている」と語った点について、山口氏は「企業のブランドイメージを低下させる要因は情報漏洩以外にも多数存在する。セキュリティに対する投資は問題発生時の(対顧客への)レスポンスを加速するためのベースになる」と説明。企業全体の危機管理プロセスの一環としてセキュリティを捉えるべきだとの主張を繰り返した。

 山口氏はまた、「新聞などのメディアがやたらに情報漏洩の問題を書きすぎるため、経営層が必要以上に萎縮してしまっている」と、最近のメディアの姿勢にも問題があると指摘。実際に起こった事例として、あるカード会社(仮にA社とする)において十数万人単位の個人情報(ただし中身は住所、氏名、電話番号程度)が漏洩した事例と、別のカード会社(B社とする)において300人程度の個人情報(こちらはカード番号や決済履歴までもが含まれていた)が漏洩した事例を紹介。「漏洩した情報の重要度からいえばB社の方が明らかに問題なのに、新聞ではA社の事例は3段組みで記事にしたが、B社の事例はべた記事扱いだった」ことを取り上げ、「問題は数字ではなく中身にあると以前から主張しているのに、メディアは反省してほしい」と苦言を呈す一幕もあった。


関連情報

URL
  NTT Communications Forum 2004
  http://www.ntt.com/forum2004/


( 松林庵洋風 )
2004/11/26 21:41

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.