| エンタープライズ:ニュース | 2002/08/29 23:56:00 更新 |
セキュリティは「経営者の責任であり、義務である」
チェック・ポイント・ソフトウェア・テクノロジーズが開催したプライベートセミナー、「Check Point Experience Seminar-Tokyo 2002」の基調講演は、企業経営におけるセキュリティの位置付けがテーマとなった。
チェック・ポイント・ソフトウェア・テクノロジーズは8月29日、同社およびパートナー各社のソリューションを紹介するプライベートセミナー、「Check Point Experience Seminar-Tokyo 2002」を開催した。
同日行われた基調講演には、監査法人トーマツの丸山満彦氏が登場した。同氏は「企業経営から見たネットワークセキュリティ」と題した講演の中で、いまだ「IT部門」や「情報システム部」の問題と見られがちなセキュリティだが、もはやこれは「経営者」の責任問題であると指摘した。
「国内企業のセキュリティ対策の現状を見てみると、その多くは“コストがかかりすぎる”ことを理由にセキュリティ対策を行っていない。だがそう言いながら、セキュリティにかけているコストは(たった)4パーセントにとどまっているという状況だ」(丸山氏)。その中には、リスクは理解していてもコストがかかりすぎることを理由に対策を取らない企業もあれば、リスクの存在すら認識していない企業もあるだろうと言う。
だがもうこれらは、経営者にとって、セキュリティ対策を取らない言い訳にはならない。リスクマネジメント、そしてコーポレートガバナンスの観点からすれば、情報セキュリティ管理は、経営者として注意を欠くことのできない問題だ。
「経営者の役割は、利潤の最大化とリスクの低減を通じて、企業価値の最大化を図ること。リスク低減にはリスクマネジメントが欠かせないが、情報セキュリティ管理もネットワークセキュリティ管理も、どちらもリスクマネジメントの一部に含まれる」(丸山氏)。
さらに丸山氏は、商法ならびに民法に明示されている“善意の管理者としての注意義務(善管注意義務)”を根拠に、「セキュリティは経営の問題だ」と強調した。
ここでポイントとなるのは、対策の必要性を知っていながら何も対策しない(いわゆる“不作為の作為”)場合はもちろんのこと、たとえ経営者が「ファイアウォールのことを知らなかった」「セキュリティ対策について知らなかった」としても、やはり責任が問われるということだ。
例えば、近くは日本ハムや雪印食品の偽装事件、古くは大和銀行のNY支店事件や神戸製鋼の総会屋利益供与事件でもそうだが、そうした行為が行われていることを「知らなかった」からといって、経営者が責任を逃れられるわけではない。むしろ「知らなかった」「知るための体制を作っていなかった」ことの責任を問われることになる。
丸山氏は、「アンチウイルスソフトやファイアウォールの導入は多くの企業で実施されているため、現在では一般的、平均的な対策と判断される可能性が高い」とし、それを知らず、しかるべき対策を取らなかった場合には、経営者が善管注意義務違反に問われる可能性が高いとした。
同氏はこれらを踏まえた上で、有効かつ効率的なネットワークセキュリティ対策のポイントについても触れた。1つは、リスクの発生を未然に抑えるための「狭義のリスクマネジメント」と、万一リスクが発言した際の影響を最小限に抑えるための「クライシスマネジメント」を分けて考えながらも、そのバランスを取っていくことだ。
また、セキュリティ製品をとりあえず購入するだけでは問題は解決せず、その運用管理をいかに適切に行っていくかも重要だと言う。「どんなにすばらしいセキュリティ製品を導入しても、単純な運用担当者のミスからセキュリティ事故は発生する。そして、セキュリティ管理・運用がますます複雑化しており、運用担当者が人間である以上、ミスは必ず発生する」(丸山氏)。したがって経営者には、技術的な解決策も含め、適切なコストをかけながら、有効かつ効率的なセキュリティ運用を実施することが求められるとした。
合わせて丸山氏は、情報システム部門と経営陣の間のコミュニケーションや情報共有も、今後ますます重要になるだろうと付け加えている。さらに、単なるリスク管理の観点からだけでなく、利潤の実現と言う意味でもITを活用し、ビジネス目標を達成する「ITガバナンス」の実現が、今後の企業経営における課題になるとした。
「セキュリティを含め、ITは企業の価値にとって重要なものになってくる」(丸山氏)。
関連リンク
チェック・ポイント・ソフトウェア・テクノロジーズ監査法人トーマツ[高橋睦美,ITmedia]
