「専務のツブヤキ」
経営者の視点で情報セキュリティを理解する要点とは

2016年7月15日

CSAJ 専務理事　笹岡　賢二郎

　私は、前職、東京工科大学の教授をしていた関係で『日本セキュリティマネジメント学会』に所属していました。CSAJに移ってからも、前川前専務からセキュリティ委員会の委員長を引き継いでいますので、そのまま協会専務に立場を変えて学会活動に参加していますが、先月26日に第30回全国大会があり、今回のコラムではその報告をさせてもらいます。
　基調講演は NTTデータ先端技術㈱の三宅功代表取締役社長 の『 経営視点で考える情報セキュリティマネジメントの課題 』でした。三宅氏は『 CXO(経営層)のための情報セキュリティ―経営判断に必要な知識と心得 』という書籍の著者でもあります。
　まず、講演は同氏も色々な不始末、苦労を経験してきたことから始まりました。2009年のGumblar攻撃に始まり、機密情報がクラウドに流出する、Webポータルサーバーが公開2時間でハッキングされる、異なる開発プロジェクトの機密情報が別のプロジェクトのサーバーに不正設置される等でした。聴くと外部からの攻撃と内部不正・不祥事が半々ということでした。 敵は外だけでなく内にもいる ことを経営者は認識している必要がありそうです。
　そしてこれらのことを経験し、経営者として 潜在的なリスクにも十分注意 しないといけないということが身に染みたとのこと。特に、 自社開発環境やクラウド利用時のセキュリティ管理が重要 とのことでした。ただ、経営者としては、やはり潜在的リスクに対して どこまで対応しておくべきか、費用対効果はどうなのか、その辺が非常に悩ましい とのことでした。
　また、(特に単体では) セキュリティというのは『ビジネスとしては儲からない』 とのこと。具体的には、人員は全体の20%を占めるが、売上は10%、利益は5%とのことでした。しかしながら、これがあるから 他の部門の商売において顧客に安心感を与えている ので、実際のシナジー効果を定量的に図ったことはないが、重視しているとのことでした。
　その後は、経営の本質に議論が及んだ気がします。まず、 リーダーシップ（又はイノベーション）とは、将来の成長のためにどのようなリスクをとるか 【決断と断行】ということですが、マネジメントは今年の売上・利益をどうするか【決定と実行】であり、全く違うものとのことでした。前者は 全体を俯瞰する『鳥の目』 がもちろん必要ですが、 現場を具に理解する『虫の目』 も持たなければいけないとのこと。そのためには リスクを可視化 すること、即ち、何を、いつ、どこまで見せるのか又は知らせるのか、『 情報共有のルール 』が重要あるとのことでした。私も情報処理推進機構（IPA）でセキュリティセンター長だった2011年頃、三菱重工への標的型攻撃に端を発する重大事案を受けてJ-CSIPという情報共有スキームを立ち上げたことがあります。経済産業省の後ろ盾もあり、すぐに情報共有のためのルールができると高を括っていましたが、まさにインシデント発生時に何をどこまで知らせるかの部分で各社の意見がなかなかまとまらず、結局、IPAと各社の間の秘密保持協定（NDA）を締結するまで半年を要してしまいました。
　とどのつまり、経営者の視点で情報セキュリティを理解する要点は、セキュリティ技術への理解というよりも、 リスクを如何に可視化し、経営者として潜在リスクへどこまで対応するか、決断し断行すること という気がした次第です。

筆者略歴

笹岡　賢二郎（ささおか　けんじろう）

1961年生まれ、1983年に通商産業省（現経済産業省）入省、機械情報産業局電気機器課、科学技術庁、資源エネルギー庁、立地公害局、防衛庁、工業技術院、基盤技術研究促進センター、JETROクアラルンプールセンター、文部科学省、四国経済産業局などの勤務を経て、2005年7月より新エネルギー・産業技術総合開発機構（NEDO）、2007年7月より九州経済産業局地域経済部長、2009年7月より中小企業基盤整備機構の業務統括役兼総務部長、2011年7月独立行政法人情報処理推進機構の参与兼セキュリティセンター長などを経て、2013年7月から東京工科大学にてコンピュータサイエンス学部 コンピュータサイエンス学科教授、片柳研究所所長、工学部 電気電子工学科　教授兼コーオプセンター長。2016年6月に一般社団法人コンピュータソフトウェア協会専務理事に就任。