ニュース
» 2009年03月05日 00時00分 UPDATE

シマンテックがCIOやCISOの現状を説明:退職時に会社のデータを持ち出す人は59%

[大津心,@IT]

 シマンテックは3月5日、報道関係者向けに「情報セキュリティとCIOおよびCISOの役割」と題した説明会を開催した。説明を行ったのはシマンテック 執行役員 コンサルティングサービスビジネス担当 テルミ・ラスカウスキー(Terumi C. Laskowsky)氏。

 ラスカウスキー氏は「CIOの役割が増え続けている」と指摘する。9.11以降、サイバー攻撃の危険性が増したため、CIOは情報セキュリティ分野や事業継続性の分野もカバーする必要が出てきた。さらに、エンロンショック以降は内部統制や法令順守の必要に迫られているうえ、最近ではグリーンITや省電力も考慮しなければならなくなった。一方で、その努力は報われてきてもいるという。「最近になって、ようやくIT投資の成果が現れてきている。いまやIT投資は競合企業との差別化要因であると、さまざまな調査結果が示している。このことはCIOの社内地位向上にかなり貢献しており、実際に日本でもCIOの地位が上がりつつある」(ラスカウスキー氏)と説明した。

ラスカウスキー氏写真 シマンテック 執行役員 コンサルティングサービスビジネス担当 テルミ・ラスカウスキー氏

 このようにCIOの役割や責任が増しているため、当然1人では抱えきれなくなる業務も出てくる。それをサポートするために、米国ではCISO(最高情報セキュリティ責任者)やCSO(最高セキュリティ責任者)などがCIOの部下として任命されるケースも出てきているとした。そして、CIOが重視する課題は1位が「ビジネスプロセスの向上」、2位が「業務コストの削減」、3位が「労働効率のアップ」、4位「新規顧客の誘導と維持」と続く。この点から同氏は「CIOは、徐々に経営マインドに近付いている。いまや、CIOは技術よりもビジネスを重視する傾向にある」と解説した。

 その理由として挙げられるのが「ITリスクの拡大」だという。IT利用の増加に伴ってITリスクも増大しており、いまやITの事故は即、ビジネスに多大なダメージを与えるようになってきている。このことから、ITリスクへの適切な対応は、CIOにとって非常に重要なミッションになっているとラスカウスキー氏は指摘する。

 そして、そのITリスクに対応するための3原則として、「リスク回避からリスク管理へ」「複雑なものからシンプルなものへ」「事後対応のリスク管理からプロアクティブなリスクガバナンスへ」という3点を挙げた。1つ目の「リスク回避からリスク管理へ変更する」では、リスクから逃げることを考えるのではなく、社内のリスクをきちんと分析し、それにきちんと対応・管理することが重要だという点だ。2点目の「複雑なものからシンプルなものへ」では、複雑なシステムをシンプルにすることで、確実にリスクを低減できるとした。3点目の「事後対応のリスク管理からプロアクティブなリスクガバナンスへ」では、1点目と同様にリスクから目をそらすのではなく、事前にきちんと対応しておくことで、事故が起きる前にリスクを低減しようというものだ。

 このようなリスクガバナンスをきちんと行った結果、ITガバナンスの成熟度の違いによって「トラブル発生時に使った金額」や「ビジネスで金額を失う確率」など、ビジネスへの金銭的な影響がかなり大きくなってきているという調査結果も出ているという。

 このようにリスクガバナンスの重要性が増してきていることから、ラスカウスキー氏は「CISOの必要性が増してきている」と指摘する。CISOは日本ではまだほとんど存在していないが、米国ではCIOの下に所属してITセキュリティとリスク監視を行い、CIOやCEOに対してアドバイスをしたり、CIOよりも技術的視野から情報セキュリティを分析する役割を担っているという。また、「セキュリティはかなり専門的で立ち入りにくいイメージがある一方で、経営者は意思決定のためにセキュリティに関する情報を必要としている」という状況を踏まえ、CISOがきちんとITリスクや社内のセキュリティ環境を把握したうえで、CEOに適時アドバイスを送るのが適切だとした。

 ラスカウスキー氏は、「1000名の米国人を対象に、シマンテックなどが共同で行った最新の調査結果によると、『退職する際に会社の情報を持ち出しましたか?』という質問に対して、59%の社員がYESと答えている。持ち出した内容は、メールアドレスのリストが1番多く65%、非経理情報が45%、顧客情報が39%、社員情報が35%と続く。このように最近の営業職やIT関連職員は“自分が培ってきた情報こそが自分の価値”という認識を持っているものが多い。従って、退職時に社内で貯めてきた情報を持ち出すことを正当化する傾向がある。しかもそれが悪いことだと認識しているケースがほとんどだ。このようにITリスクは非常に増している」と警告し、ITガバナンスの重要性を強調した。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ