「社会全体のコンセンサス作りを」――ディアイティ下村氏：RSA Conference Japan 2006（2/2 ページ）

[高橋睦美，ITmedia]

下村　いや、皆が相談して「このぐらいがいいよね」というコンセンサスを作ることが重要だと考えています。ご存知の通りリスクを完全になくすことは不可能ですが、ここまで対策を行っていれば妥当だろう、という合理的な評価ラインを作るべきでしょう。さもなければ、企業はこれからますます辛い状況になると思います。セキュリティ対策に十分な資金を回せない中小企業の場合は特にそうです。

　そのためには、セキュリティ対策に取り組むことが、企業の活動にプラスになるような社会構造が必要です。それに向けてNISCなどが幾つかの政策を打ち出し、例えば政府の調達条件としてISMSやISO/IEC 15408認証の取得などを求める動きが出ています。こうした取り組みが重要でしょう。

ITmedia　今後求められる日本版SOX法への対応をにらみ、内部統制を実現していく上ではどういった取り組みが必要でしょうか？

下村　難しいのは、社会的要請にどのように応えていくかということです。今、社会のニーズはどんどん変化しています。企業は社員と業務フローの双方にまたがり、コンプライアンスやガバナンスを実現していく必要があるわけですが、その中で、「ここまでやらなければ許されない」という分界点をどこかに作っていかなければならない。

　例えば運輸業界では、幾つかの事故の経験を踏まえ、トラック運転手の過剰勤務についてのコンセンサスができつつありますが、情報セキュリティについてもああしたものを形成できないかと考えています。情報漏えいひとつとっても、持ち帰り残業せざるを得ないような仕事の仕方が悪いのか、PCをしっかりくくりつけるなどの対策しておかないのがいけないのか、何がまずくてどこまで対策が必要なのか、そのあたりのコンセンサスを作っていかなければなりません。

　いずれにしても、企業や社会全体としての割り切りは必要でしょう。情報セキュリティを考慮すると、要求してはいけないことというのもあるのではないでしょうか。OECDの情報セキュリティに関するガイドラインには、「ネットワークの参加者すべてが等しく責任を持って措置に取り組むべき」という旨が記されています。オンラインショッピングモールならばその運営者、出店者、システムを作っている人、運営している人、それらに加え利用するユーザーも含めて、各々がリスクや責任を考えていく必要があるのです。ITを安全に使えるようにするために、皆が知恵を絞っていかなければなりません。使う側にもリテラシーが根付くことによって、「安全でないソフトは使わない」という文化が育ってくればいいと考えています。

　ただ、啓蒙や教育、ガバナンスの仕組みというのは、善意の人に対してはある程度効果があるけれども、悪意を持って情報を持ち出す人への効力はあまり期待できません。そこではじめて、ITシステムというのが効いてきます。ガバナンスを補完するのがITシステムの役割というわけです。

　RSA Conference Japanというのは、トップクラスのセキュリティ技術を開示するカンファレンスです。日本のセキュリティを担う人にはぜひ、最新の動向を得て各々の持ち場で活用してもらいたいと思っています。人間の脆弱性というのは、教育を行ってもなかなかすぐにはなくなりません。それを小さくするのがIT技術だと思っています。だから、最新の情報をゲットして現場に持ち帰ることが重要になるんです。