SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Future Technology

IoTは企業ITにどんな影響を与えるのか?(後編)


 前編ではIoTに関する様々な課題を挙げてみた。今回はこうした課題を、IoTをビジネスに利用しようとする企業がどのように考え、どう対処していくべきなのかを考えてみる。また、利用者が陥るであろう問題についても触れてみよう。

IoTとセキュリティを考える前に押さえておきたい「ビジネスとリスクの微妙な関係」

 IoTに関するセキュリティ上の課題を考える前に、ビジネスにおける新技術に関するリスクマネジメントの基本を再度押さえてみよう。ビジネスを進める側、つまり企業の経営陣にとっての最大目標は利益の最大化とビジネスの拡大であると言っていい。それが企業という存在の目的であり、そこに投資している人たちが要求する最大の事項だからだ。

 一方でこうしたビジネスの拡大や利益の追求には、当然ながら様々なリスクも伴う。最大規模、最大利益のみを求めて突っ走れば、様々な問題が生じて、計画が思うように進まないばかりか、場合によっては企業の存立そのものが危うくなるような事態に陥ってしまう。こうしたリスクとビジネス目標のバランスを考え、受け入れるべきリスクを最小化しつつ、どれだけの利益や規模の拡大を達成できるかを左右するのがリスクマネジメントなのである。

 ここで注意が必要なのは、リスクマネジメント自体が自己目的化することは決してないということだ。単純に考えれば、リスクを避けるためには、その原因を排除すればいい。極論すれば、そのリスクを発生させるビジネスそのものを、やめてしまえばリスクはなくなる。

 だが、それではビジネスの目的は果たせないし、リスクへの対策としては本末転倒だ。まず、リスクを整理し、評価して、(そのビジネスをやめるという以外の)なんらかの手段でリスクを低減できるかどうかを考える。

 ここで注意が必要なのはリスクを低減するために講じた手段が、違うリスク、たとえばビジネスの効率低下や、追加コストを生じる可能性だ。これも、最終的なリスクの大きさに含めておく必要がある。そうして残ったリスクとビジネス上のメリットの両方を勘案し、進めるか止めるかを決めるのである。この最終判断は、もちろん経営上の判断になる。

図1:リスクのバランス

 リスクマネジメントは、あくまでビジネスそのものを進める前提で行われる必要がある。情報セキュリティマネジメントもリスクマネジメントの一環だが、時折、本末転倒な施策でビジネスの足を引っ張る様子が見られるのは、これがビジネスリスクマネジメントという意味での位置づけにおいてまだまだ未熟だからだろうと思う。

 ISMSとして知られるISO/IEC27000シリーズの2013年版から、リスクの定義が改訂され、ISO31000における一般のリスクマネジメントの考え方との整合性が取られた理由のひとつに、こうした状況の改善があったのだろうと思う。

 IoTの問題に限らず、こうしたリスクマネジメントにおいては、ビジネスの視点から、経営層がリスクを正しく認識し、バランス感覚を持って判断できる素地をきちんと作っていくことが重要なのである。

IoTセキュリティリスクの考え方

 さて、IoTビジネスには様々なリスクが伴うが、ここからは情報セキュリティとその周辺のリスクに絞って考えてみよう。これを考える上で重要な要素は以下のようなものだ。

  • Things の特性(それが何を行うものであるのか、どこで使われるものなのか・・)
  • Things の数
  • Things へのサービス(管理、制御、情報提供、情報収集などをたばねるサービス)

 IoTという言葉が非常に漠然としており、Thingsがカバーする範囲が非常に広いため、リスクの評価は、それぞれのThings =「モノ」の特性によって大きく変化する。つまりThingsに対する脅威やその影響に大きく左右されるのである。

 たとえば、家電製品でも、白物家電と情報家電では脅威の内容が異なる。前者は場合によっては利用者に対し安全、衛生上の問題を生じる可能性もあるだろう。交通や工業系のIoTでは、こうした安全上の問題が最大の脅威となりうる。リスクの評価は決してIoTという言葉でひとくくりにできるものではなく、個々にきちんと特性を加味して行われる必要があるのだ。

図2:IoTリスクの特性

 たとえば「モノ」本来の機能の延長上でIoTを考える場合、「モノ」の特性を中心として考えればよいが、それにIoTで新たな価値(機能)や意味を付加するような場合は、当然違った切り口での検討が必要だ。たとえば、IoT化することにより、関連する情報の提供や収集を行う場合などである。

 また、テレビがその代表格だが、本来の機能から、より「情報端末化」つまり従来、パソコン、スマホなどの「コンピュータ」が担ってきた分野に踏み込んでいく場合は、当然ながら、これまで「コンピュータ」が晒されてきた脅威にも目を向けていく必要がある。

次のページ
「サービス」が盲点になっていないか?

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Future Technology連載記事一覧

もっと読む

この記事の著者

二木 真明(フタギ マサアキ)

アルテア・セキュリティ・コンサルティング/日本クラウドセキュリティアライアンス 代表理事/NPO日本ネットワークセキュリティ協会 幹事 制御系マイコンプログラマー、UNIX系システム・デバイスプログラマーなどを経て、大手商社系SIerに転職。米国シリコンバレー発のセキュリティ製品の市場開拓、技術評価...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6696 2015/05/15 13:02

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング