【インタビュー】企業競争力を高めるセキュリティ(第4回)
「情報セキュリティガバナンスやグループ企業の情報漏えい対策まで、国際標準をベースに参加者と一緒に考えたい」
――三菱総合研究所
7月27日に開催される総合セキュリティカンファレンス「Direction2011」の舵取りをする実行委員会のメンバー企業を紹介していく本連載。第4回目となる今回は、三菱総合研究所に現在の課題から見た将来の情報セキュリティのありかたや、Direction2011で予定している講演テーマなどについて伺った。
――日本企業を取り巻く環境が非常に厳しい現在、日本企業がこの困難を乗り越えて競争力を高めて行くにはどのようなことが必要なのでしょうか。
川口氏
株式会社三菱総合研究所
情報技術研究センター
クラウドセキュリティグループ
主任研究員
川口 修司 氏現在、日本企業がかつてないほど困難な状況に直面していることは間違いありません。いま必要なことは、業界や業種に関わらず、これまで通りの高い品質を維持することだと思います。言わば日本企業の底力が試されています。災害やエネルギーの危機によって弱っているので品質やレベルが落ちてもしかたがないかもしれません。しかし、ここで歯を食いしばって品質を維持し、外国の経営者に「日本企業はトラブルがあっても揺らがない」と思わせることこそ、結果的に信頼を高め、復興を加速させることにつながると思います。
海外のサプライチェーンのパートナー企業から「災害リスクのある日本製品には依存できない」という声もあがっており、リスク分散のために、日本を避ける動きが見られます。つまり、品質維持というのは精神論ではなく、現実的な経営問題への課題であり、「他の国の製品を使ったが、それは間違った経営判断だった」と思わせる強さが必要です。
――三菱総研は国の政策にも提言するなど深く関与していますが、こうした分野の支援も実施しているのでしょうか。
川口氏
ご指摘のとおり、当社からも今回の災害からの復興に向けたいくつかの提言をさせていただいております。私自身、2003年の経済産業省の「情報セキュリティ総合戦略」の策定など、国レベルでビッグピクチャーを描くことをサポートしてきました。そうした背景から、私は、セキュリティの観点から我が国が目指すべき方針は「事故前提社会」であると考えます。事故を防ぐための予防だけでなく、事故が起こることを前提とした対策も備えた社会を築くべきだということです。これは「情報セキュリティ総合戦略」で採り上げられ、内閣官房情報セキュリティセンターが2009年2月に発表した「第二次情報セキュリティ基本計画」でも提示されたキーワードで、今さらと思われる方もいらっしゃるかもしれません。ただ、私は、今回の大災害を通じて、その重要性が再認識できたし、それが不十分であることも改めて気付かされたと考えています。
たとえば、事業継続計画ですが、これは書類があるだけでは機能せず、PDCAを回して改善していくことが重要です。とはいえ、言うは易しで、実行は正直大変です。ただ、今回、広域災害によって、交通手段が止まる、携帯電話が通じない、翌日に従業員が出社できないといったことがどういった事態を招くのかを経営者の方々は痛感されたのではないでしょうか。そうした経験・知見を改善に活かし、事業継続計画を見直すことで、より災害に強い、タフな組織になるのだと思います。
長期的な観点では、想定外の事態も視野に入れたリスクマネジメントがポイントです。安定した時代が長く続いたせいか、日本の経営者の多くはリスクを直視し、真正面から取り扱うことに慣れていません。しかし、企業経営において、想定外の状況に直面して思考停止してしまうことは許されません。経営者の方は、今こそリスクの本質を理解し、立ち向かう覚悟を持つことが求められているのではないかと思います。
予算を投じて強化し続ける方法もありますし、中途半端なやりかたではかえって現場の生産性を下げてしまうようならば、あえてリスクを取る、という選択肢もあります。リスクという言葉は非常に抽象的であやふやなものですが、これをハッキリと見えるようにしていくのが私たちコンサルタントの仕事だと思っています。
――企業内の情報セキュリティ担当者がやるべきことは何でしょうか。
川口氏
セキュリティ担当者の方は経営者に理解できる言葉で判断材料を提供していくことが必要です。目に見えないリスクを経営者の方にご納得いただくのは簡単ではありません。逆に言えば、経営者の方は、自らにわかる言葉で部下に報告させ、ご自身で判断していかなければいけません。これを実現するためのモデルが「情報セキュリティガバナンス」です。現在、国際標準化が進められており、当社もその活動に参画しています。Direction2011では、情報セキュリティガバナンスのモデルや事例、国際標準化動向などについて講演する予定です。
――Direction2011での三菱総研の注目講演のテーマは情報セキュリティガバナンスに基づく企業意識の改革ということでしょうか。
川口氏
はい。情報セキュリティガバナンスの実現のために、経営者が取り組むべきことや現場のマネジメント層には何をしていただくのかなどをお話ししたいと考えています。取引先などに「この会社は口先だけでなく、やるべき努力をやっているな」と思ってもらえるために役立つ内容になると思います。
重要なテーマとしてはあとふたつ考えています。ひとつめはグループ企業を統制するためのグループセキュリティ、もうひとつは情報漏えい対策です。多様な子会社・関連会社を抱える親企業や、海外展開している日本企業にとってこれから重要度が増すテーマであるグループセキュリティについて、アプローチ方法をご紹介したいと思います。
また、一般的に情報漏えい対策は技術の専門家やIT部署の仕事だと思われがちですが、内部者の持出しは技術だけでは解決できません。自社や顧客、取引先を守るためにどうすべきか、我々の考え方をお話しする予定です。アジア最大級の総合セキュリティカンファレンスであるDirection2011にはピッタリのテーマのひとつだと思います。ぜひご期待ください。
――最後にZDNet Japanの読者へメッセージをお願いします。
川口氏
情報セキュリティを担当していらっしゃる皆様のお悩みは、上司や組織のトップにいかにしてご理解をいただくかということだと感じています。Direction2011は、この悩みを解決する方法をご一緒に考える場にしていきたいと考えています。「どうしたら上長を口説くことができるか」ということと、情報セキュリティの将来について、ご参加の皆様と共に議論していきたいと思います。
――ありがとうございました。
Direction 2011オフィシャルサイトに移動します。
