SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

Security Online Press

「担当者はイノベーションの一翼を担う自覚を」 ビジネス視点の投資が生む“必要十分”なセキュリティとは

CIO/CISOは目前に迫るリスクとセキュリティのバランスをどう取るべきか?

 経営を揺るがす情報セキュリティインシデントが後を絶たない中、企業の生存戦略としてのリスクマネジメントはどのようにあるべきだろうか。今、CIOやCISOは「明日は我が身」というリスクに向き合いながら対策を考えあぐねているであろう。現代の日本企業におけるリスクマネジメントの課題は何か。経営の視点からセキュリティを捉えていくために、そして適切な投資を行うために何をすべきなのか。過去には損害保険会社のシンクタンクなど企業勤務の経験を持ち、現在は情報セキュリティ大学院大学でセキュリティ人材の育成に取り組む藤本正代教授に話を聞いた。

IT利活用とセキュリティ対策は同じ課題の“両面”

 藤本教授は1993年にマサチューセッツ工科大学(MIT)科学技術政策大学院を修了し、2000年に東京工業大学で経営工学博士を取得した。損害保険会社のシンクタンクやメーカーで情報セキュリティの調査研究やコンサルティング、医療情報システム関連の業務に従事した後、現在は情報セキュリティ大学院大学の教授として人材育成はもちろん、外部でも様々なセキュリティの啓発活動を行っている。

 「仕事と並行して教育や執筆、講演活動を行う中で、ISMS(情報セキュリティマネジメントシステム)に関心を持つようになりました。ISMSはイギリス発祥の国際標準であり、日本ではまだ普及していない段階から研究を始めました。そして、情報セキュリティ大学院大学の設立を機に、リスクマネジメントの観点から情報セキュリティのマネジメントについて情報発信を始めました」(藤本教授)

 MITに留学していた時代には、グループウェアやSNSの初期段階における普及促進を研究。その後、損害保険会社のシンクタンクでの経験から、ITの利用にともなうリスクに注目するようになったという。研究者としてキャリアを築き始めた初期には、特に「ITの利活用とイノベーション」に焦点を当てた研究を行っていた。

 「ITの利活用と安全性は、対立するものではなく、同じ課題の両面として捉えています。私自身のキャリアでも利活用と安全性の双方を経験したことから、こうした考え方には馴染みがありました。この考え方は、政府の施策の一つである『DX with Cybersecurity』にも反映されており、私の研究室の学生たちもこの分野に興味を持って研究しています」(藤本教授)

情報セキュリティ大学院大学 藤本正代教授

セキュリティを情シスに丸投げする経営層も……

 昨今、社会に大きな影響を与える情報セキュリティインシデントやサイバー攻撃が話題に上ることが増えている。現在の日本企業において、リスクマネジメントを行う上でどのような課題があるのだろうか。

 藤本教授は、情報セキュリティに関わるリスクマネジメントは、「企業の経営全般を指す『事業リスク』の一つとして情報セキュリティリスクを捉え、それをマネジメントすること」だとした。経営はリスクマネジメントそのものであり、新製品の開発や海外進出など、事業を拡大していくにあたって付随する事業リスクを常に管理する必要があることを藤本教授は示す。そこに加えて現代の企業はITに依存しており、情報セキュリティリスクが重要な課題となっているのだ。

 しかし、情報セキュリティリスクへの対策に関して、特に中小規模の企業経営者の中には、発注元の大企業からの指示や何かしらのインシデント発生を受けて初めて対策を講じるといったところも少なくない。事前に備えるという意識がいまだ根付いていないのだ。

 「経営者は情報セキュリティリスクを心配してはいるものの、システム部門や取引先のベンダーに対応を依存する傾向があるように感じます。経営者が自らの責任で情報セキュリティへのリスクを判断できるような企業は決して多くないのが現状です」(藤本教授)

 情報セキュリティに対して「事業拡大の勢いを削ぐもの」といったようにネガティブなイメージを持つ人も一定数存在する。また、情報セキュリティ対策が直接収益に結びつくことはないとして、予算を最小限にしたいと考える組織も多い。たとえ情報セキュリティ対策の予算が少なくても、その予算設定の背景を経営層全体がしっかり把握しており、何かインシデントが生じた際の責任の所在がはっきりしているのであれば、そういった判断も一つの方法として考えられるかもしれない。しかし、たいていの場合はそうではないと藤本教授は警鐘を鳴らす。

 「多くの場合、経営層は自社の情報セキュリティリスクを深く理解せず、誰かがマネジメントしてくれていると思っています。自らの事業にITがどれだけ使われているのか、それに対してどのようなセキュリティ対策が必要なのかを“自社ベース”でしっかり考えてほしいです。技術的な知識がないなら、そうした知識を持つIT部門や専門家から説明を受けるべき。一方でIT部門が経営層に説明する際には技術的な話に終始せず、経営層が何を知りたいのかを把握し、ポイントを絞って話すことが大切ですね」(藤本教授)

 経営層とIT部門が情報セキュリティリスクについて認識を合わせる機会を設けるのは非常に重要だ。お互いが接する機会が増えれば、リスクに対する理解も深めることができる。

次のページ
報道相次ぐサイバー被害に左右されすぎてはいけない?

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務とWebシステム開発事業を展開する会社・アンジーを創業した。編集プロダクション業務では、日本語と英語でのテック関連事例や海外スタートアップのインタビュー、イベントレポートなどの企画・取材・執筆・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19827 2024/08/26 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング