経営を揺るがす情報セキュリティインシデントが後を絶たない中、企業の生存戦略としてのリスクマネジメントはどのようにあるべきだろうか。今、CIOやCISOは「明日は我が身」というリスクに向き合いながら対策を考えあぐねているであろう。現代の日本企業におけるリスクマネジメントの課題は何か。経営の視点からセキュリティを捉えていくために、そして適切な投資を行うために何をすべきなのか。過去には損害保険会社のシンクタンクなど企業勤務の経験を持ち、現在は情報セキュリティ大学院大学でセキュリティ人材の育成に取り組む藤本正代教授に話を聞いた。
IT利活用とセキュリティ対策は同じ課題の“両面”
藤本教授は1993年にマサチューセッツ工科大学(MIT)科学技術政策大学院を修了し、2000年に東京工業大学で経営工学博士を取得した。損害保険会社のシンクタンクやメーカーで情報セキュリティの調査研究やコンサルティング、医療情報システム関連の業務に従事した後、現在は情報セキュリティ大学院大学の教授として人材育成はもちろん、外部でも様々なセキュリティの啓発活動を行っている。
「仕事と並行して教育や執筆、講演活動を行う中で、ISMS(情報セキュリティマネジメントシステム)に関心を持つようになりました。ISMSはイギリス発祥の国際標準であり、日本ではまだ普及していない段階から研究を始めました。そして、情報セキュリティ大学院大学の設立を機に、リスクマネジメントの観点から情報セキュリティのマネジメントについて情報発信を始めました」(藤本教授)
MITに留学していた時代には、グループウェアやSNSの初期段階における普及促進を研究。その後、損害保険会社のシンクタンクでの経験から、ITの利用にともなうリスクに注目するようになったという。研究者としてキャリアを築き始めた初期には、特に「ITの利活用とイノベーション」に焦点を当てた研究を行っていた。
「ITの利活用と安全性は、対立するものではなく、同じ課題の両面として捉えています。私自身のキャリアでも利活用と安全性の双方を経験したことから、こうした考え方には馴染みがありました。この考え方は、政府の施策の一つである『DX with Cybersecurity』にも反映されており、私の研究室の学生たちもこの分野に興味を持って研究しています」(藤本教授)
セキュリティを情シスに丸投げする経営層も……
昨今、社会に大きな影響を与える情報セキュリティインシデントやサイバー攻撃が話題に上ることが増えている。現在の日本企業において、リスクマネジメントを行う上でどのような課題があるのだろうか。
藤本教授は、情報セキュリティに関わるリスクマネジメントは、「企業の経営全般を指す『事業リスク』の一つとして情報セキュリティリスクを捉え、それをマネジメントすること」だとした。経営はリスクマネジメントそのものであり、新製品の開発や海外進出など、事業を拡大していくにあたって付随する事業リスクを常に管理する必要があることを藤本教授は示す。そこに加えて現代の企業はITに依存しており、情報セキュリティリスクが重要な課題となっているのだ。
しかし、情報セキュリティリスクへの対策に関して、特に中小規模の企業経営者の中には、発注元の大企業からの指示や何かしらのインシデント発生を受けて初めて対策を講じるといったところも少なくない。事前に備えるという意識がいまだ根付いていないのだ。
「経営者は情報セキュリティリスクを心配してはいるものの、システム部門や取引先のベンダーに対応を依存する傾向があるように感じます。経営者が自らの責任で情報セキュリティへのリスクを判断できるような企業は決して多くないのが現状です」(藤本教授)
情報セキュリティに対して「事業拡大の勢いを削ぐもの」といったようにネガティブなイメージを持つ人も一定数存在する。また、情報セキュリティ対策が直接収益に結びつくことはないとして、予算を最小限にしたいと考える組織も多い。たとえ情報セキュリティ対策の予算が少なくても、その予算設定の背景を経営層全体がしっかり把握しており、何かインシデントが生じた際の責任の所在がはっきりしているのであれば、そういった判断も一つの方法として考えられるかもしれない。しかし、たいていの場合はそうではないと藤本教授は警鐘を鳴らす。
「多くの場合、経営層は自社の情報セキュリティリスクを深く理解せず、誰かがマネジメントしてくれていると思っています。自らの事業にITがどれだけ使われているのか、それに対してどのようなセキュリティ対策が必要なのかを“自社ベース”でしっかり考えてほしいです。技術的な知識がないなら、そうした知識を持つIT部門や専門家から説明を受けるべき。一方でIT部門が経営層に説明する際には技術的な話に終始せず、経営層が何を知りたいのかを把握し、ポイントを絞って話すことが大切ですね」(藤本教授)
経営層とIT部門が情報セキュリティリスクについて認識を合わせる機会を設けるのは非常に重要だ。お互いが接する機会が増えれば、リスクに対する理解も深めることができる。
報道相次ぐサイバー被害に左右されすぎてはいけない?
自社に合った情報セキュリティ対策を検討する際には、世間を賑わすランサムウェア被害などの大規模なインシデントに対して過度に敏感になる必要はないと藤本教授は語る。
「基本的な情報セキュリティマネジメントの考えを持たずに、先鋭的なトレンド情報に対応しようとすると必要以上にコストをかけてしまうことになりかねません。自社にとって必要な対策を施すには、今の自分たちの事業にとって何が重要かを考え、基本的な情報セキュリティマネジメントを確立することが必要です。その上で、サイバー攻撃の激化やランサムウェアの増加など、社会の潮流に応じて必要な対策を検討すべきでしょう」(藤本教授)
増大する事業リスクを目前に、「情報セキュリティ対策にどれほど予算を費やせば良いのか」という問いは、経営層にとってもIT部門にとっても簡単に答えの出ない大きな課題の一つだ。藤本教授はこれに対し、“ビジネスと社会的責任”の両方の観点からセキュリティへの投資を考えるべきだと言う。ビジネスの拡大にあたっては、新たな施設を設立したり、人を雇ったりなど様々な投資を行うが、そこに付随する多少のリスクはある意味“当たり前のもの”として飲み込んだ上で進めることがほとんどである。同様に、情報セキュリティもビジネスを展開する上で“当たり前の要素”として盛り込めばいいのだ。
「情報セキュリティ対策を検討するにあたって詳しい人に相談するのは良いことですが、そのタイミングは重要です。たとえば新しい事業をリリースする直前になってから情報セキュリティ面をIT部門に相談しても、もはや手遅れといったことも少なくありません。ITを利活用する際には、その初期段階から情報セキュリティの要素を検討事項に入れるべきだと思います」(藤本教授)
まずはセキュリティ担当者自身の意識を変えるべき
では、DXやITの利活用と同じ観点で情報セキュリティ対策を考えていくために、CIO/CISOにはどのようなアクションが求められるのだろうか。藤本教授は、様々な職責の人がお互いに理解を深めるために、自分と違うバックグラウンドや知識を持つ人たちとコミュニケーションを取る機会を作ることが重要だと言う。
「私が教授を務めている情報セキュリティ大学院大学には、マネジメントを勉強している学生もいれば、暗号やシステムセキュリティを勉強している学生もいます。様々なバックグラウンドをもった学生がともに討論したり、一緒に課題を進めるような授業も多くあります。企業においても、専門分野が自分と異なる人たちと交流することで、様々な角度からセキュリティリスクを見つけることにつながると考えています」(藤本教授)
また、社外から情報を得ることも重要だ。たとえば、一般社団法人ICT-ISACでは、サイバーセキュリティの観点から業界内での情報共有・連携を推進している。このようなコミュニティでの活動はもちろん、コミュニティに所属していなくとも、普段から関わりのある企業同士で情報交換することも有効だと藤本教授はアドバイスした。
「情報セキュリティの専門家にとってコミュニケーション能力は非常に重要です。社内で自分たちの施策を事業部門に徹底してもらうためには、その部門の人たちと常にコミュニケーションを取り、共感を得る必要があります。そのためにはインターネットやマスメディアだけでなく、他社がどのようにしているかも含めて外部からの情報を収集して自社に役立てる力が求められます」(藤本教授)
一方、CIOやCISOの下でセキュリティの現場を担う担当者は、社内で事業部門や経営者にセキュリティの重要性を説明しても取り合ってもらえなかったり、嫌な顔をされたりすることもあるだろう。藤本教授はこれに対し、「情報セキュリティはイノベーションを阻害するものではなく推進するもの」だということを改めて強調し、次のようにコメントした。
「セキュリティ担当者の信念として『自分たちはイノベーションの一翼を担っている』という自覚をもち、それを周りにも伝えていくことが大切です。こうすることで、経営者とのコミュニケーションの仕方も変わってくるでしょう。たとえば『新規事業はセキュリティ面を考慮すると危険です』という言い方と『この新規事業の推進にはセキュリティが重要です』という言い方ではかなり印象が違いますよね。まずはセキュリティ担当者が意識を変えることが企業全体のセキュリティ意識向上につながっていくと考えています」(藤本教授)
Enjoyed this article? Sign up for our newsletter to receive regular insights and stay connected.