IT利活用とセキュリティ対策は同じ課題の“両面”
藤本教授は1993年にマサチューセッツ工科大学(MIT)科学技術政策大学院を修了し、2000年に東京工業大学で経営工学博士を取得した。損害保険会社のシンクタンクやメーカーで情報セキュリティの調査研究やコンサルティング、医療情報システム関連の業務に従事した後、現在は情報セキュリティ大学院大学の教授として人材育成はもちろん、外部でも様々なセキュリティの啓発活動を行っている。
「仕事と並行して教育や執筆、講演活動を行う中で、ISMS(情報セキュリティマネジメントシステム)に関心を持つようになりました。ISMSはイギリス発祥の国際標準であり、日本ではまだ普及していない段階から研究を始めました。そして、情報セキュリティ大学院大学の設立を機に、リスクマネジメントの観点から情報セキュリティのマネジメントについて情報発信を始めました」(藤本教授)
MITに留学していた時代には、グループウェアやSNSの初期段階における普及促進を研究。その後、損害保険会社のシンクタンクでの経験から、ITの利用にともなうリスクに注目するようになったという。研究者としてキャリアを築き始めた初期には、特に「ITの利活用とイノベーション」に焦点を当てた研究を行っていた。
「ITの利活用と安全性は、対立するものではなく、同じ課題の両面として捉えています。私自身のキャリアでも利活用と安全性の双方を経験したことから、こうした考え方には馴染みがありました。この考え方は、政府の施策の一つである『DX with Cybersecurity』にも反映されており、私の研究室の学生たちもこの分野に興味を持って研究しています」(藤本教授)
セキュリティを情シスに丸投げする経営層も……
昨今、社会に大きな影響を与える情報セキュリティインシデントやサイバー攻撃が話題に上ることが増えている。現在の日本企業において、リスクマネジメントを行う上でどのような課題があるのだろうか。
藤本教授は、情報セキュリティに関わるリスクマネジメントは、「企業の経営全般を指す『事業リスク』の一つとして情報セキュリティリスクを捉え、それをマネジメントすること」だとした。経営はリスクマネジメントそのものであり、新製品の開発や海外進出など、事業を拡大していくにあたって付随する事業リスクを常に管理する必要があることを藤本教授は示す。そこに加えて現代の企業はITに依存しており、情報セキュリティリスクが重要な課題となっているのだ。
しかし、情報セキュリティリスクへの対策に関して、特に中小規模の企業経営者の中には、発注元の大企業からの指示や何かしらのインシデント発生を受けて初めて対策を講じるといったところも少なくない。事前に備えるという意識がいまだ根付いていないのだ。
「経営者は情報セキュリティリスクを心配してはいるものの、システム部門や取引先のベンダーに対応を依存する傾向があるように感じます。経営者が自らの責任で情報セキュリティへのリスクを判断できるような企業は決して多くないのが現状です」(藤本教授)
情報セキュリティに対して「事業拡大の勢いを削ぐもの」といったようにネガティブなイメージを持つ人も一定数存在する。また、情報セキュリティ対策が直接収益に結びつくことはないとして、予算を最小限にしたいと考える組織も多い。たとえ情報セキュリティ対策の予算が少なくても、その予算設定の背景を経営層全体がしっかり把握しており、何かインシデントが生じた際の責任の所在がはっきりしているのであれば、そういった判断も一つの方法として考えられるかもしれない。しかし、たいていの場合はそうではないと藤本教授は警鐘を鳴らす。
「多くの場合、経営層は自社の情報セキュリティリスクを深く理解せず、誰かがマネジメントしてくれていると思っています。自らの事業にITがどれだけ使われているのか、それに対してどのようなセキュリティ対策が必要なのかを“自社ベース”でしっかり考えてほしいです。技術的な知識がないなら、そうした知識を持つIT部門や専門家から説明を受けるべき。一方でIT部門が経営層に説明する際には技術的な話に終始せず、経営層が何を知りたいのかを把握し、ポイントを絞って話すことが大切ですね」(藤本教授)
経営層とIT部門が情報セキュリティリスクについて認識を合わせる機会を設けるのは非常に重要だ。お互いが接する機会が増えれば、リスクに対する理解も深めることができる。
