もはやITは社会を支える大きなインフラであり、時にはライフラインともなりうる。2005年は、そのライフラインに大規模なトラブルが続発している。その多くは内部要因によるものである。このことはリスクを管理すべき範囲の広さを改めて教えてくれたと共に、内部で発生するインシデントに対して、いかに無防備であったか、という問題点を突きつけることになった。そこで今回、リスク管理のあるべき姿を求めて、リスク管理ベンダー3社のトップに話を聞いた(前編・後編に分けて掲載)。
出席者
木村裕之氏 シマンテック 代表取締役社長
大三川彰彦氏 トレンドマイクロ 日本代表
加藤孝博氏 マカフィー 代表取締役社長
(司会)石橋正彦氏 ガートナー ジャパン
ガートナー リサーチ ソフトウェアグループ リサーチ ディレクター
CSO、CIO制度は生産性向上に必須
石橋正彦氏 経営者のITに対する関与というのも、これから話題になるでしょうね。東証の社長があれだけシステムについて話をしていたように「うちの社長もあのくらい話ができなければいけない」となるかもしれない。
加藤孝博氏 仰るように企業のトップはシステムのことが分からないというのが一般的な認識になっていますね。確かに、たとえばアパレル業界や運送業界の社長が分からないというのは無理もない。
だから私が取り入れるべきだと思うのが、CSO(Chief Security Officer)などの制度なんです。コストの問題などもあるでしょうが、ある程度の企業はCSOを設けてほしい。システムを知らないでいいという認識のままではまた大きなトラブルにつながってしまう。その辺は我々ベンダーも啓蒙していく必要があると思いますね。
石橋 これからはユーザー企業に対して「CSOはどなたですか」とたずねて、まずCSOに対する意識を高める必要があるかもしれませんね。
大三川彰彦氏 日本ではCIO(Chief Information Officer)に対しても、米国に比べるとまだ認識が低く、決定権などの権限を持つ人が少ないのが現状のようです。ソリューションを提案しても、まず先に導入事例の情報を求められることが多いと聞きます。これはまだ、日本の経営者が「他社が使っているから自社も」という横並びの考えがあるためか、セキュリティによって生産性を向上させ、結果的に売り上げの増加につなげるという認識が低いためかもしれません。
企業の経営として重要なのは、ビジネスの継続性を守ることだと思います。これからの経営者はCIOやCSOという職務を持った人の必要性を認識し、セキュリティを企業経営の一要素と考え、そこに権限を委譲して企業内のコンプライアンスを確立し、ビジネスの継続性や生産性の向上を考えることが必要不可欠になってくると思います。
木村裕之氏 ITがこれだけ重要なのに、まだ経営者が横並びなんですね。自分の目で見ていない。ITに関して経営者は日々本当に心配だと思う。だからこそCIOやCSOを設けることが必要でしょう。今までのようにベンダーにまる投げにしてしまうと、ベンダーごとにシステムがバラバラになってしまう。そうならないためにもCIO、CSOを育ててトータルなシステムで外と内からの脅威から守っていくということが当然必要です。ITは事業インフラであり、事業を停めないというためにも。
石橋 事業継続計画とセキュリティとは不可分ですね。
加藤 経営の継続性という話だと、ひとつには今回の東証のトラブルのようなプログラムミスやDoS(サービス拒否)攻撃、脆弱性などを、平面的にではなく、総合的に統合した堅牢なシステムをどう構築するかが、我々ベンダーの仕事だと思います。また日本語の壁を想定するにしても、今後は国際的な共有が考えられます。そう考えても、脅威は国際化してくるでしょう。日本のセキュリティ対策は米国に比べるとずっと遅れている。
大三川 日本のビジネススタイルは性善説が基本であるといわれています。ところが海外では、性悪説を基本に考えるケースが多いこともあり、ビジネスを守るためのIT製品やサービスには適切な投資を行っています。現代社会はITを活用して業務を遂行することが基本となっていますので、会社を支えるシステムを守るためのセキュリティやアベイラビリティを高める対策も考えなければなりません。
しかし会社規模によってはCIO、CSOといった職位を設けることができない場合もあります。そのようなときは、企業の業務やシステムをよく知っている外部の専門家を活用するなどして、ITやセキュリティを効率よく利用しながら事業の継続性を考えていけばよいでしょう。また、リスク管理とクライシス管理をきちんと考えることも重要です。この両者を理解し、準備をしていくことが今後の経営者に必要なことなのではないかと思います。
ITをどう使うのかが経営者の責務
石橋 では、ITの強化によって企業の競争力が向上するものなのか、お聞かせください。
加藤 これは万人の認めるところで、中小企業、いわゆるSMBの意識が高まっています。セキュリティベンダーとして我々はそういったマーケットにフォーカスしていますし、オープン化による危険度に対する啓蒙活動はしていかなければならない。これからはSMBもネットで商売していきますから、我々のミッションはそれに対応できるソリューションを揃えることであり、ひいては企業の競争力を高め、生産性を高めて競争に勝つというわけで、日本の国力も上がっていくだろうと。
木村 結論としてはまさにその通りです。もはやITを利用せざるを得ないという背景がある。そこで考えなければならないのは、何をするためにITを活用するのか、ということです。それぞれの目的があるんですよね。ITを活用して自分の会社をどうしたいのか、を考えることが必要でしょう。
それと1人だけではシステムは成り立たない。IPの中に入っていくというのは、グローバルにつながるわけで、安全に気を配らなければならない。自らも、参加する場も安全というものを意識していかないといけない。
そのためにも、ベンダーをうまく使えと言いたいです。“業者”ではなく“パートナー”として。CIO、CSOの権限を強めて我々ベンダーをうまく使いこなしてほしいと思います。
