Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

「CIO、CSO、CISOに縛られず日本ならではの責任者を」ラック三輪社長


 東京国際フォーラムで31日に開催された「INTERNET Watch 10周年記念シンポジウム『インターネット Next Stage』」のセッション Part 3で、1995年頃に社内ベンチャーとしてPCのセキュリティビジネスを立ち上げたというラックの三輪信雄代表取締役社長が登壇。「情報セキュリティガバナンスの夜明け」と題して講演を行なった。


セキュリティ対策は後付けからビルトインへ

1995年頃に社内ベンチャーを立ち上げたという三輪氏

後付けの対策には「計画性がない」「継続性がない」「ほかの対策との連携がない」などの欠点がある
 「1995年頃だと『そもそもファイアウォールって何?』という状況だった」と三輪氏。ラックでは自社サイトを構築する際にFreeBSDを導入したが、当時はパスワードなしでログインできたという。性善説に基づいて運営されていた当時のインターネットは自由で牧歌的だったが、「これだけ自由だと後で必ず問題になり、ビジネスになる」とも思っていた。

 三輪氏の直感は確信へと変わる。2000年1月頃からDoS攻撃やWebサイトの書き換えといった事件が立て続けに発生した。セキュリティへの関心が高まり、「業界がバブルだった頃もあった」。しかし、ウイルス対策ソフトやゲートウェイなど後付けの対策は行き詰まりを見せているという。こうした後付けの対策には「計画性がない」「継続性がない」「ほかの対策との連携がない」「経営者が全体像を把握できない」「事件の後、次第に忘れる」「コスト削減の圧力」といった問題がある。

 「ウイルス対策ソフトを導入しても徹底されるわけではない。感染したPCの持ち込みなどもあり、結局忘れた頃に(ウイルス感染が)炸裂するということを繰り返す。時間が経つとともに情報セキュリティが高まる企業はない。会社として記憶が薄れていく」。Webサイトからの顧客情報漏洩も今や珍しくないが、「パッチを適用しましょう、IDS/IPSを導入しましょう、Webアプリを改修しましょうなどと顧客に勧めるが、何千万円ものコストがかかる。顧客企業がラックと同程度の経営規模の会社であれば、私が経営者なら発注しない」と指摘する。

 三輪氏は設計段階からセキュリティを考慮したビルトインの対策を勧める。具体的には、監視カメラなどの物理セキュリティとの統合や、設計や開発、品質検査といったシステム開発の全フェイズにおいてセキュリティを考慮することなどだ。セキュリティを見直すための業務フロー改善や、経営責任が問われる時代の流れを認識する経営者側の意識改革も重要になってくる。

 「経営者は、情報に関する脆弱性を把握する必要がある。外出しているノートPCが何台あって、それらのPCが何をしているのか。いち経営者として私も知りたいし、経営者であれば知るべきだと思う。また、技術的な対策、マネージメント的な対策、リテラシー的な対策など情報セキュリティ対策をプランニングする人材が必要だ。」


CIO、CSO、CISOの違いと限界

情報セキュリティガバナンスとは
 三輪氏が説明する情報セキュリティ体制は「情報セキュリティガバナンス」といわれる社内統制体制。そもそも、情報セキュリティガバナンスとは経済産業省の「企業における情報セキュリティガバナンスのあり方に関する研究会」によれば、「社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」だ。

 「情報セキュリティガバナンスというと監査やマネジメントに力点が置かれ、セキュリティ技術が軽視されがち。Webアプリの脆弱性も繰り返し指摘されている割に、繰り返し起こっている。技術的には対策できるし、すぐに対策したほうがいいのに、セキュリティ対策となるとまったりと進んでしまう。」

 情報セキュリティガバナンスの中核は、情報セキュリティの責任者が担う。企業内での責任者としては、いわゆるCIO(Chief Infomation Officer)やCSO(Chief Security Officer)、CISO(Chief Infomation Security Officer)との名称があり、それぞれ微妙に役割が異なる。

 三輪氏の見解では、CIOは組織の情報管理を行なう。一般的には情報システム本部の本部長が兼務することも多い。CSOは情報セキュリティに限らず、物理セキュリティも含めた経営危機全般の管理が担当だ。事業の継続性などが主な責任範囲になる。CISOは、情報システム部とは別組織として情報セキュリティを統括するという。

 あくまでも私的な見解とした上で三輪氏はこう指摘する。「CIOは、情報システム部というコスト部門の統括責任者として、常に費用対効果のプレッシャーを受けている。経営トップに進言できる人材も少ない。CSOにセキュリティ対策を集中するのは論理的には正しいが、広く深い知見を持つ人材は希少だ。また、いち役員には責任が重すぎる。本来リスク管理はCEOが責任を負うべきではないか。CISOについては、(情報システム部とは別組織のため)部下が2人しかいなかったり、そもそも役員であるべきかという疑問もある」。


CIOやCSO、CISOに関する三輪氏の見解 いずれも限界があるという

情報セキュリティ対策責任者の条件とは

三輪氏の指摘した責任者の条件。ただし、「こんな人はいない」とも
 もともとCIO、CSO、CISOといった言葉は米国が発祥だ。日本において情報セキュリティ対策の責任者はどうあるべきなのだろうか。三輪氏は「継続性を意識し、単純な費用対効果で考えず、業務・物理・システムにまたがる知識と人脈があり、情報セキュリティに対する知見と先見性があり、経営トップにアドバイスできて、正義感と経営感覚をあわせ持つ」などと指摘しながらも、「基本的に『こんな人はいない』という人が情報セキュリティの責任者にならなければならない」と会場を笑わせた。

 三輪氏が経験してきた実例では、CIOが強大な権力を持っているケースや、反対にCIOなどの担当役員を超えて経営トップが情報セキュリティの投資を判断している場合もあった。前者のケースでは「CIOがデータベースのカラムなどを全部暗記し、業務やシステムに精通していた」という。ただし、「ハッカーによる不正アクセスやウイルス被害、情報漏洩など業務外で最新の対策が必要な問題については、知恵袋となる“CIO補佐”が必要だ。ラックもそういう立場で協力している」と指摘。後者のケースでも経営トップが“情報セキュリティのプロ”を補佐にして報告させているという。

 三輪氏は「米国のようにトップダウンで役員に任せればいいというものではなく、日本の文化に合わせたやり方があるはず」と指摘。部署ごとに情報セキュリティ対策責任者を置くことなど、日本の企業文化に合った情報セキュリティガバナンスを提案した。「情報セキュリティ対策責任者のモチベーションも重要だ。正義感を持ってやってる人もいるが、モチベーションは必ずしも高くない。情報セキュリティ対策責任者をやっていたから転職が有利だったという話は今のところ聞かないが、今後、企業や政府もそうなるように考える必要がある」と述べた。


業務に精通したCIOが強大な権力を持っているケース 経営トップが判断するケース。いずれもセキュリティベンダーが補佐的に関与する場合があるという

関連情報

URL
  INTERNET Watch 10周年記念シンポジウム「インターネット Next Stage」
  http://internet.watch.impress.co.jp/event/iw10year/
  ラック
  http://www.lac.co.jp/


( 鷹木 創 )
2006/01/31 20:26

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.