情報セキュリティ対策は「トライ＆エラー」で：Interview

「セキュリティ対策はいったいどうすればいいのか」――その答えは人に求めるものではなく、自分で試行錯誤して見つけ出していくものだと、RSA Conference 2005 Japanのプログラム委員を務める丸山満彦氏は語る。

[高橋睦美，ITmedia]

　個人情報保護法の全面施行を機に、情報セキュリティに対する関心は大きく高まったが、ITバブルと同じように表面的なブームに終わってはいないだろうか？　ただ危機感に踊らされるのではなく、企業の体質そのものにセキュリティを組み込んでいくには、何が必要なのだろうか？　監査法人トーマツ エンタープライズリスクサービス部 シニアマネジャーにして、RSA Conference 2005 Japanのプログラム委員を務める丸山満彦氏に話を聞いた。

---

ITmedia　個人情報保護法の全面施行にともない、情報セキュリティに対する関心が高まってきました。が、「この製品を導入すればすべて解決」というようなお手軽な話になりがちです。

丸山　セキュリティに限らず日本人の傾向として、個々の技術や実装といった面にはめっぽう強いのに、どうも全体のフレームワークを作るのが不得手のように思います。個別の話はできても、全体としてどのようにマネジメントしていくかが後回しにされがちです。

　ISMS（情報セキュリティマネジメントシステム）適合性評価制度のブームで若干風向きは変わってきましたが、企業の経営全体という観点から見て、セキュリティはまだそれほど大きな位置づけにありません。しかし日本の企業といえども、今後は日本版の企業改革法の導入が金融庁で検討されているし、金融機関ではBIS規制など、さまざまなフレームワークへの準拠が要請されるようになるでしょう。そうした中、自分の組織にどのようにセキュリティを組み入れていくかで苦労しているようです。

　もちろん、セキュリティがすべてというわけではありません。経営者の立場に立ってみれば、ほかにも考えなければならない要素は多々ありますし、どこにどれだけお金をつぎ込むかバランスも考えなくてはなりません。しかし、これまでセキュリティの位置付けはあまりに低すぎたように思います。マネジメントとしてのセキュリティについて、もうちょっと考えていくべきではないでしょうか。

ITmedia　かといって、セキュリティをすべてに優先させると、今度はがんじがらめで動きが取れなくなってしまいます。

丸山　情報セキュリティに限らずさまざまな企業不祥事の例を見てきましたが、たいてい、事故が起こる前は何も管理されておらず、野放しの状態です。そして事故が起こると、今度は一気に、徹底的に管理を行おうとする傾向があります。両極端になってしまうんですね。

　しかし、ある程度時間をかけ、「どうすればいいのか」と自問し試行錯誤する中で、バランスの取れたところに収束していくのではないでしょうか。これは、PDCAサイクルの流れと同じことです。

　RSA Conference 2005 Japanのマネジメントトラックにある「企業における情報の保護と利用のバランス」というセッションでは、ソフトバンクBBの阿多親市さんや松下電器産業の金森喜久男さんといった方々が登場し、それぞれの取り組みについてお話いただける予定です。こういった先端企業の例を聞くことで、「じゃあ、自分のところでは何をどこまでやればいいのか？」を考え、学ぶ場にしてもらえればと思います。

セキュリティ対策について自分なりの答えを見つけ出すヒントをRSA Conference 2005 Japanから見出してほしいと述べた丸山氏

ITmedia　この手の話になると、「とにかくどうしたらいいんだ？」と単純な答えが求められがちですが……。

丸山　答えは人に求めるものじゃありません。間違えててもいいから、自分で考えるものです。間違えたんなら直せばいいだけのことです。

　これもありがちな話ですが、どうも日本の組織というのは「間違いがあっちゃいけない」というところから話が始まってしまいますよね。ああでもない、こうでもないで、石橋を叩いて結局何も実行できない、なんていうオチになりがちです。

　ですが、セキュリティの分野ではこういったことは通用しません。今までに経験のないことが起こっているわけですから、まず試しにやってみて、だめならば速やかに直す……そういう動きが求められると思います。そしてこのとき、何をどこまでやるかを最終的に決めるのは経営者のカンです。

ITmedia　カン……ですか？

丸山　たとえば、昨今話題になっている企業の買収価格ひとつとっても、適正価格はいくらかなんて誰にも分かりませんよね？　セキュリティ投資も同じことです。人に聞いたところで分かりません。主体性を持って自分でどこまでやるのかを考え、さまざまある選択肢の中から選び取っていけばいいと思います。RSA Conference Japanは、そのときの選択肢を提供できる場にもなると思います。

　それから、説明責任を果たすことも重要です。仮に事故が起こったとして、それまでどういった対策をしていて、何が問題でどんなことが起こったのか……それを内部できっちり把握していなければ、説明しようにもできませんよね。ただ「一生懸命やってきました」じゃ納得されるはずもありません。

ITmedia　説明するにしても、セキュリティに関しては「秘密主義」が優先されがちです。情報を公開すればするほどセキュリティが危うくなる、という意見も見られます。

丸山　細かいセキュリティ上の設定を公開するというのは問題ですが、どのような方針でセキュリティ対策を行っているか、どのような点に気をつけているかなどは、秘密にする必要はないでしょう。さまざまな事故、不祥事を起こした会社を見ますと、社内のタコツボに入り込んでいて世間の相場というものを知らないケースが多いように思います。世間とはまったく感覚が違うのに、内部では大丈夫だと思い込み、自分たちの考え方で暴走してしまうのです。

　1つには、日本の働き方に流動性がないことも要因でしょう。米国ですと、さまざまな会社を渡り歩く中で、他社はどうしているのかという情報がおのずと見えてきますが、日本ではずうっと同じ会社にいるから、他社の動向が分からない。

　そうした中で相場観を養うには、意見交換が重要だと思います。もちろん、「他社はどうなってるか気になるけれど、ウチの情報は出したくない」ではなく、ギブアンドテイクで互いに意見交換できる場を作っていければと思います。

　実はRSA Conference 2005 Japanには「カンファレンスパーティー」も設けられています。せっかくの機会ですから、知り合い同士で固まるんじゃなくて、さまざまな人脈を作り、情報交換できればいいですね。きっとほかの会社も同じように悩んでいるはずですから。それに、フォーマルな昼間と違って、お酒の入る「夜の部」は何かと盛り上がりますよね。

ITmedia　では最後に、カンファレンスの見所を教えてください。

丸山　RSA Conference 2005 Japanが提示するのは、「これさえやれば大丈夫」というようなお手軽な解決策ではなく、自分たちで解決法を考えていくためのヒントだと思っています。

　中には、マネジメントトラックのように、企業の現場で陣頭指揮を執っている方によるセッションもあれば、最先端の暗号技術に特化したセッションもあります。特に後者は、RSA Conferenceとしてはこれを抜きにしては語れない要素だと思いますね。また弁護士や政府関係者を招いて、法律や社会制度、政策、制度について話していただきます。しかも、国内だけでなく、世界の最先端を行く海外のスピーカーが参加します。

　他のセキュリティ関連コンファレンスに比べると視野が広く、技術だけでなくさまざまなトピックが含まれており、いろいろな方に楽しんでもらえると思っています。参加する方もただ教科書的に聞くのではなく、「自分たちがどのように使うのか」「仕事の中にどう生かしていくのか」という問題意識を持って参加することで、身に付くものになるのではないでしょうか。