企業とベンダーはセキュリティ投資を再考すべし――基調講演から：RSA Conference 2009 JAPAN（1/2 ページ）

RSA Conferenceの基調講演に登壇した奈良先端科学技術大学院大学の山口英教授は、企業のセキュリティ投資の縮小が経営リスクを高めるとして、投資効果を高めていくためのポイントを挙げた。

[國谷武史，ITmedia]

　セキュリティカンファレンスの「RSA Conference 2009 JAPAN」が6月10日、千葉県の幕張メッセで開幕した。初日の基調講演には、内閣官房情報セキュリティセンター情報セキュリティ補佐官も務める奈良先端科学技術大学院大学の山口英教授が登壇し、企業のセキュリティ投資効果を高めるために必要なポイントについて提言を行った。

投資縮小は経営リスクを高める

山口氏

　2008年からの世界同時不況によって、国内外のさまざまな調査リポートから企業のIT投資ムードが縮小ムードにあることが鮮明となった。「企業経営者はよく“ITは投資効果が見えづらい”と言うが、特に情報セキュリティは最たるものだ。しかし、10年ほど前に比べて効果は2〜2.5倍に伸びている」（山口氏）

　情報セキュリティへの投資が軽視される背景には、経営リスク管理における情報セキュリティの重要性が経営層へ十分に浸透していないことが挙げられると山口氏。近年では、電気やガスといった公共インフラでオープンシステムの採用が広がり、電子商取引の国内市場が5兆3000億円規模となるなど、情報システムが日常生活と切り離せない存在となりつつある。

　内閣府が実施した調査では、セキュリティ投資を実施している企業が3割、今後投資するという企業が3〜4割あった。「企業へのヒアリングでは、これからセキュリティをやろうとしていた企業が不況の到来でやめる方向にあるという声が聞かれた。セキュリティ対策をしなくなれば、経営リスクが格段に高まる」（山口氏）

　同氏は2008年の国民生活白書を引用し、不祥事を起こした企業はほぼ確実に業績を落としていると説明。IT関連でも情報システムの障害や内部不正による情報漏えいといった不祥事が多発しており、こうした企業では顧客からの信頼やブランドが失墜し、業績不振に陥っているという。

　「個人情報保護法が施行されても、個人情報が流出し続けている。特に故意による内部犯行は以前から存在しているものの、今の経済状況ではさらに増える恐れがある」（山口氏）。一旦不祥事が起きれば、顧客への謝罪といった直接的なコストだけみても年々その金額が上昇している。

　「“金がない”と言って情報セキュリティを怠れば、企業経営にどんな影響を与えるかは明らかだ。他社の不祥事を“対岸の火”と捉えず、顧客の信頼を失わないために知恵を使ってセキュリティを高めるべきだろう」と山口氏は指摘する。

　山口氏は、セキュリティへの投資では従業員の生産性向上と情報保護の両立を図ることがポイントになるといい、限られた予算やリソースの中でセキュリティを確保した業務プロセスの構築を勧める。

　「情報を保護するためにノートPCの持ち出しを禁止する企業が実に多い。その結果、従業員は残業しなければならず、人件費が増えるだけになる。今は少ないコストで自宅のセキュリティを確保し、仕事ができる手段がいくらでもある。経営者はそうしたサービスに目を向けるべきだろう」