ニュース
» 2004年10月04日 22時34分 公開

セキュリティ対策は「企業の社会的責任」に

「情報化月間 2004」記念式典に合わせて開催されたセミナーの中で、経済産業省の田辺雄史氏は、情報セキュリティ対策は企業の社会的責任だと述べた。

[高橋睦美,ITmedia]

 「情報セキュリティ対策は企業の社会的責任であり、それを全うすることによって企業価値は向上する」――10月1日、都内で行われた「情報化月間 2004」の記念式典に合わせて開催されたセミナー「情報セキュリティガバナンス時代に向けて〜情報セキュリティと企業価値〜」の講演の中で、経済産業省の田辺雄史氏(情報セキュリティ政策室課長補佐)はこのように語った。

 田辺氏は、「国家情報セキュリティセンター」の設立に向けた議論をはじめ、経済産業省および政府がこれまでに進めてきた情報セキュリティ対策について紹介した。中でも最も最近の取り組みに「e-文書法」が挙げられるという。

 この法案はその名のとおり、これまで紙媒体で作成、保存されてきた各種文書を電子媒体でも保存、閲覧できるようにし、官公庁のみならず民間企業でも文書保存コストの削減を狙うものだ。2005年4月の施行を目指し、10月10日ごろをめどに閣議にかけられる予定という。

 この実現に当たっては、「コピーや変更が容易という電子データの特性を踏まえ、改ざん防止や真実性確保など、どういった要件が求められるかの議論が引き続き必要だ」(田辺氏)。裁判や係争になった場合の証拠能力としての側面に加え、犯罪捜査/フォレンジックといった面からも要件についてのさまざまな議論が必要だとした。

セキュリティ投資の「目安」不在

 セキュリティ対策というとどうしても、ITシステムに基づく技術的対策がクローズアップされがちだが、最近では組織的対策の重要性が指摘されるようになってきた。しかしながら、「技術的対策と組織的対策、この2つの間にすきまがあるのではないかという感想を抱いている」(田辺氏)。つまり、現場とルール(ポリシー)の間に乖離があるのではないか、というわけだ。

 決して技術的対策をないがしろにするわけではないが、頻発する情報漏洩事件などを観察すると、「『凄腕のハッカーにやられる』といったケースはほとんどなく、実際には組織的対策の隙を突かれた内部犯行が多い。このことを踏まえると、組織的対策の重要性はますます高まっている」と田辺氏は述べた。

 組織的対策を推進するための枠組みとして情報セキュリティマネジメントシステム(ISMS)や情報セキュリティ監査制度があるが、そこで1つの問題が浮上してきたという。

 「現場の話を聞いてみると『(情報セキュリティ対策を)やらなくていいのならばそれに越したことはない』『対策が大事なことは分かるが、根性で何とかしてくれと言われる』といった声が上がってくる」(田辺氏)。同氏はさらに、情報セキュリティ投資を進める上での障害として「費用対効果が見えない」「どこまでやればいいかが見えない」といった項目が挙がっていることを指摘した。

 この状況を打開するには、リスクを定量化し、セキュリティ投資の評価尺度を定め、それに沿ってトータルなセキュリティ対策を取ることによって、管理コストを下げていくことが必要ではないか、という。

セキュリティへの取り組みは企業価値の向上に

 田辺氏はさらに、「情報漏洩やウイルス発生といったIT事故は、自社のみならず、インフラや社会全体に影響を及ぼす恐れがある。もはやセキュリティ対策は環境問題と同じように、企業の社会的責任ではないか」と述べた。

 ただし、その社会的責任を全うするに当たって、3つの課題があるという。

 1つは、先にも触れたようにリスクの見極めがつかず、適正なセキュリティ投資の判断が困難なこと。2つめは、ポリシーを作ったはいいけれど、それが経営にうまく適合していないケースがあること。そして3つめは、事業継続性の確保の重要性である。災害やテロなどが発生しても事業への影響を最小限に食い止める「コンティンジェンシープラン」の重要性は、日本ではこれまで、あまり認識されてこなかった。

 これを解決するため同省は今年9月より、「企業における情報セキュリティガバナンスのあり方に関する研究会」を開催し、この場で「サプライサイドからの視点だけではなく、広く企業の情報セキュリティについて研究していく」(田辺氏)という。

 具体的には、情報セキュリティ投資の尺度となる「情報セキュリティ対策ベンチマーク」を策定する計画だ。また、大手企業が「環境報告書」を出しているのと同じように、IR活動の一環として「情報セキュリティ報告書」を公開することを目的に、モデル策定に取り組む。さらに、不測の事故が発生した場合でも事業運営を継続させるための「事業継続計画策定ガイドライン」の策定も計画している。

 こうした施策によって「企業の信頼性を世の中にアピールしていくことができるし、経営側にとっては(セキュリティへの)投資効果の把握が容易になり、リスクを減らすことができる。ひいてはこれが、企業価値の向上につながる」と田辺氏は述べ、今後の企業経営にセキュリティへの取り組みは不可欠な要素であるとの見方を強調した。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -