 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
「CIO、CSO、CISOに縛られず日本ならではの責任者を」ラック三輪社長 |
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
東京国際フォーラムで31日に開催された「INTERNET Watch 10周年記念シンポジウム『インターネット Next Stage』」のセッション Part 3で、1995年頃に社内ベンチャーとしてPCのセキュリティビジネスを立ち上げたというラックの三輪信雄代表取締役社長が登壇。「情報セキュリティガバナンスの夜明け」と題して講演を行なった。 ● セキュリティ対策は後付けからビルトインへ
三輪氏の直感は確信へと変わる。2000年1月頃からDoS攻撃やWebサイトの書き換えといった事件が立て続けに発生した。セキュリティへの関心が高まり、「業界がバブルだった頃もあった」。しかし、ウイルス対策ソフトやゲートウェイなど後付けの対策は行き詰まりを見せているという。こうした後付けの対策には「計画性がない」「継続性がない」「ほかの対策との連携がない」「経営者が全体像を把握できない」「事件の後、次第に忘れる」「コスト削減の圧力」といった問題がある。 「ウイルス対策ソフトを導入しても徹底されるわけではない。感染したPCの持ち込みなどもあり、結局忘れた頃に(ウイルス感染が)炸裂するということを繰り返す。時間が経つとともに情報セキュリティが高まる企業はない。会社として記憶が薄れていく」。Webサイトからの顧客情報漏洩も今や珍しくないが、「パッチを適用しましょう、IDS/IPSを導入しましょう、Webアプリを改修しましょうなどと顧客に勧めるが、何千万円ものコストがかかる。顧客企業がラックと同程度の経営規模の会社であれば、私が経営者なら発注しない」と指摘する。 三輪氏は設計段階からセキュリティを考慮したビルトインの対策を勧める。具体的には、監視カメラなどの物理セキュリティとの統合や、設計や開発、品質検査といったシステム開発の全フェイズにおいてセキュリティを考慮することなどだ。セキュリティを見直すための業務フロー改善や、経営責任が問われる時代の流れを認識する経営者側の意識改革も重要になってくる。 「経営者は、情報に関する脆弱性を把握する必要がある。外出しているノートPCが何台あって、それらのPCが何をしているのか。いち経営者として私も知りたいし、経営者であれば知るべきだと思う。また、技術的な対策、マネージメント的な対策、リテラシー的な対策など情報セキュリティ対策をプランニングする人材が必要だ。」 ● CIO、CSO、CISOの違いと限界
「情報セキュリティガバナンスというと監査やマネジメントに力点が置かれ、セキュリティ技術が軽視されがち。Webアプリの脆弱性も繰り返し指摘されている割に、繰り返し起こっている。技術的には対策できるし、すぐに対策したほうがいいのに、セキュリティ対策となるとまったりと進んでしまう。」 情報セキュリティガバナンスの中核は、情報セキュリティの責任者が担う。企業内での責任者としては、いわゆるCIO(Chief Infomation Officer)やCSO(Chief Security Officer)、CISO(Chief Infomation Security Officer)との名称があり、それぞれ微妙に役割が異なる。 三輪氏の見解では、CIOは組織の情報管理を行なう。一般的には情報システム本部の本部長が兼務することも多い。CSOは情報セキュリティに限らず、物理セキュリティも含めた経営危機全般の管理が担当だ。事業の継続性などが主な責任範囲になる。CISOは、情報システム部とは別組織として情報セキュリティを統括するという。 あくまでも私的な見解とした上で三輪氏はこう指摘する。「CIOは、情報システム部というコスト部門の統括責任者として、常に費用対効果のプレッシャーを受けている。経営トップに進言できる人材も少ない。CSOにセキュリティ対策を集中するのは論理的には正しいが、広く深い知見を持つ人材は希少だ。また、いち役員には責任が重すぎる。本来リスク管理はCEOが責任を負うべきではないか。CISOについては、(情報システム部とは別組織のため)部下が2人しかいなかったり、そもそも役員であるべきかという疑問もある」。
● 情報セキュリティ対策責任者の条件とは
三輪氏が経験してきた実例では、CIOが強大な権力を持っているケースや、反対にCIOなどの担当役員を超えて経営トップが情報セキュリティの投資を判断している場合もあった。前者のケースでは「CIOがデータベースのカラムなどを全部暗記し、業務やシステムに精通していた」という。ただし、「ハッカーによる不正アクセスやウイルス被害、情報漏洩など業務外で最新の対策が必要な問題については、知恵袋となる“CIO補佐”が必要だ。ラックもそういう立場で協力している」と指摘。後者のケースでも経営トップが“情報セキュリティのプロ”を補佐にして報告させているという。 三輪氏は「米国のようにトップダウンで役員に任せればいいというものではなく、日本の文化に合わせたやり方があるはず」と指摘。部署ごとに情報セキュリティ対策責任者を置くことなど、日本の企業文化に合った情報セキュリティガバナンスを提案した。「情報セキュリティ対策責任者のモチベーションも重要だ。正義感を持ってやってる人もいるが、モチベーションは必ずしも高くない。情報セキュリティ対策責任者をやっていたから転職が有利だったという話は今のところ聞かないが、今後、企業や政府もそうなるように考える必要がある」と述べた。
関連情報 ■URL INTERNET Watch 10周年記念シンポジウム「インターネット Next Stage」 http://internet.watch.impress.co.jp/event/iw10year/ ラック http://www.lac.co.jp/
( 鷹木 創 )
- ページの先頭へ-
|
