総務省トップ > 組織案内 > 地方支分部局 > 近畿総合通信局 > 2020年サイバーセキュリティ月間企画 「地域のキーパーソンに聞く、経営課題としてのセキュリティ」 

2020年サイバーセキュリティ月間企画
「地域のキーパーソンに聞く、経営課題としてのセキュリティ」 

情報システム部門は組織の血肉
vol.1 立命館大学 教授 上原 哲太郎 氏

 情報科学を基礎から学ぶカリキュラムを提供し、情報化社会のニーズに対応できる高度な実践能力をもつ人材の育成を目指す立命館大学で教鞭に立つ傍ら、京都府警察サイバーセキュリティ戦略アドバイザー、芦屋市最高情報統括責任者(CIO)補佐官なども務める、上原 哲太郎 教授に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。






まずは情報資産の管理
−経営層がまず認識しておくべきことは何ですか。
「情報資産の管理がサイバーセキュリティに入ってくるという認識が必要です。個人情報漏洩事故がクローズアップされがちですが、被害の大きさは、外部犯及び内部犯の悪意、取引先リスク、社内人材のロイヤリティ(愛着度)などによって変わります。例えば、会社によくしてもらえなかったことを恨んで、社員がデータを不正に持ち出すという事案があります。これも実害が発生するという意味で攻撃だと言えますので、こうした攻撃を受けにくくする情報資産管理がサイバーセキュリティに入ってくることをまずご理解頂きたいですね。」

情報システム部門は、財務部門と同じ組織の横串
−情報システム部門が組織で評価されにくいという話をよく聞きます。
「情報部門は本来、財務部門に似ていて、組織の血肉であり、組織に横串を通す部門であるはずです。しかし、お金という分かりやすい話だからか、財務部門が事業部門の上になっているような組織がよくある一方で、情報部門は社内の御用聞きのような存在と思われがちです。情報部門は事業部門や間接部門のサポーターなのに、経営者のバックアップがないために社内的な地位が落ちてしまうというのは、組織にとってマイナスの影響が大きいと思っています。」

どんどん仕事がやりにくくなる組織でよいのか
−経営層から一般社員にはどういうメッセージを出せばよいでしょうか。
「一般社員がまずやらなければならないセキュリティは、(1)PCを使うときに変なファイルを持ち込まないこと、(2)自分の認証(IDやパスワードなど)を守ること、この2点です。これをしっかり守れない状況が続けば、皆さんは仕事がどんどんやりにくくなりますよと言っていく必要があります。例えば、IDやパスワードを守れないと、情報システムにテレワークで入ることも不可能になります。このように、皆さんの不注意が仕事の効率を落としていきますよというメッセージが必要かと思います。その上で、経営層としては過度に現場に負担を増やさないためのセキュリティ投資を考えていくべきでしょう。」
 

セキュリティ対策への理解欠如は、企業価値に大きなダメージ
vol.2 兵庫県立大学大学院 特任教授 申 吉浩 氏

 カーネギーメロン大学とのダブル・ディグリー制度の導入などをはじめ、セキュリティ分野の人材を輩出するための仕掛けづくりに取り組む兵庫県立大学大学院にて、産学連携の取組を積極的に進め、兵庫県警のサイバーセキュリティアドバイザーなども務める、申 吉浩 特任教授に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。





事故を100%防ぐことは不可能
−サイバーセキュリティ対策を十分実施しない企業のリスクは何でしょうか。
「一言で言えば、「のれん」。つまり、風評、企業ブランドに対するダメージです。インシデント(事故)を100%防ぐことは不可能ですが、どれだけ事前に努力していたかが評価され、万が一インシデントが起きたときの賠償金もそれによって変わると言われています。セキュリティ対策に対してずさんである、または経営者が理解を持っていないと分かると、企業ブランドに大きなダメージを与える可能性が高まります。」

ROI(投資利益率) で評価できるのは常識
−経営者として最低限理解しておくべきことは何でしょうか。
 「ROI (投資利益率)です。昔は100%守らなければダメとか、セキュリティにお金を投じても利益が上がらないじゃないかという考え方が強く、それが企業のセキュリティ対策を遅らせてきました。しかし今では、情報セキュリティはROIで評価できるということが常識になっています。経営者は、情報セキュリティをそのように評価することができるということを認識しておかなければならないでしょう。」

経営者が分かる言葉で説明してくれる人
−企業は何から取り組むべきでしょうか。
「よく言われることですが、CISO(最高情報セキュリティ責任者) に人を充てることが一番だと思います。そして、CISOとして最も重要な役割は、リエゾン(連絡係)です。CISOは必ずしも自ら技術的に何かをするということではありません。技術のことは人を使ってでも100%理解し、そこで理解した内容を経営者が分かる言葉で話すというのが一番大きなミッションになります。」

  −経営者と現場をつなぐ翻訳者の役割ですね。
「そうです。例えば、世の中には技術者が社長になる会社もあれば、営業の人間が社長になる会社もあります。基本的に技術の人は営業のことを分からないので、営業責任者に信頼をおける人を置いてその人の言うことを聞くじゃないですか、逆だったら逆をやるでしょう、それと全く同じことです。社内でも社外でもよいので、そういう人材を確保することが今後企業にとってますます重要になると思います。」
 

AIでデータを利活用する時代、情報管理は最重要課題
vol.3 兵庫県立大学大学院 准教授 五十部 孝典 氏

 カーネギーメロン大学とのダブル・ディグリー制度の導入などをはじめ、セキュリティ分野の人材を輩出するための仕掛けづくりに取り組む兵庫県立大学大学院において、暗号解読技術や暗号の安全性評価に関する研究に従事している、五十部 孝典 准教授に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。




データ利活用とデータ管理は表裏一体
−サイバーセキュリティ対策を十分実施しない企業のリスクは何でしょうか。
「一番は企業イメージを損なって、機会損失を生むことです。ビッグデータをAIでいかに処理するかということに注目が集まっていますが、そのデータをどう管理するかということも非常に重要なポイントになることが見落とされがちです。経営者にとっては、AIを活用して新しいビジネスプランを作るという話は想像しやすいのかもしれません。しかし、そのデータ管理に失敗したとき、企業の信頼が失墜し、大きな損失を生むということも表裏一体で想像しなければなりません。」

自社の状況を理解できる知識
−経営者は最低限どこまで技術的なことを理解する必要がありますか。
「割と深く知らないといけないと思います。というのも、会社として最低限どんな情報を集めていて、その情報のどんな特性を守らなくてはいけないか、そのためにどういう対策をとっているかということは最低限理解していないといけないと思います。例えば今の時代、個人情報がインターネットに漏れてしまうともう取り戻すことはできないですし、一度そのイメージが企業につくと完全に払拭することはできません。だからこそ経営者は、自社の状況を理解できていなければならないと思いますし、そうでなければ必要な対策も取れないのではないでしょうか。」

「分からないから任せる」は、責任放棄
−先生がエンジニアだった頃、経営層とのコミュニケーションはいかがでしたか。
「僕が企業にいた頃、経営者が技術的なことを理解しようという姿勢があるときは、話していて一番楽しかったです。正確に理解していなくてもよいので、テクニカルなことを少しでも理解しようという姿勢を見せてくれると、技術者も説明しやすくなりますし、歩み寄れます。逆に、分からないから任せるというのは一番モチベーションが下がります。単に下に全部任せるというだけでは責任放棄です。経営者の方には、是非とも技術者のモチベーションが上がるようなコミュニケーションを心がけてほしいですね。」
 

システム運用の現場にもっと光を
vol.4 和歌山大学  講師 川橋(泉)  裕 氏

 和歌山大学の学内情報システムの管理運用を担い、国内で有数のセキュリティ関連イベントでもある「サイバー犯罪に関する白浜シンポジウム」「情報危機管理コンテスト」開催の中心的役割を果たしている、和歌山大学 川橋(泉) 裕 講師に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。




社員に裏切られない会社
−経営者に是非取り組んでほしいということはありますか。
「細かい知識は抜きにして、やはり大事なのは、自分の会社の社員に裏切られないようにすることだと思います。身も蓋もない言い方をすれば、人間ですからお金によって動いてしまうところはあります。でもだからこそ、経営者はお金以上に、社員からの信頼を得るということにできるだけ苦心してもらいたいと思っています。例えば、社内で経営者に対して多少かみついても許容される人間関係があると、そういう会社で働いていることに誇りを持ったりするということもあると思うんです。」

システム運用の苦労話
−そのために、経営者は技術者とどう接すればよいでしょうか。
「やはり、システムを運用していく人間の苦労話を聞いてやってほしいですね。たぶん文句しか出てこないと思いますが、ただその文句を聞くというのも経営者たるものの仕事だと思います。運用している人間から本音を引き出そうと思ったら、それを言っても大丈夫なんだと思えるような環境を作ってやらないといけない。それは人間関係としても、情報セキュリティマネジメントとしてもすごく大事なところだと思います。」

運用を外注したら1,500万円
−サイバーセキュリティ対策は費用対策が見えにくいとよく言われます。
 「まず、システム設計と運用設計が別物だと理解する必要があります。例えば、システム設計で100万円予算をつけてシステムを導入したとします。経営者はシステムを入れたことは知っていますが、それが現場でどんなトラブルを生むのかには興味がありません。実際、そうしたトラブルに対処するための運用設計を行い、お金を使わず手間をかけて対応したとしても、そのことを評価するフレームはないんです。ですので、システム設計費用だけをみても本当の費用対効果は分かりません。」

−確かに運用コストは経営者には見えにくいですね。
 「実はうちの大学で僕がやっている仕事を外注するとどれくらい費用がかかるかというのを計算したことがあります。そしたら、年間で出てきた数字が1,500万円で、自分は格安で仕事をしていることが分かったという笑い話です。ここで言いたいのは、コストが見えない業務を外注したらいくらになるのかを見てみると、経営者としてはそれが大きなことに気付くのではないかなと思いますね。」
 

リスクマネジメントは、技術ではなく人に向き合うところから
vol.5 大阪大学 教授 猪俣敦夫 氏

 情報セキュリティ分野の人材育成の取組に力を入れる大阪大学に所属し、一般社団法人JPCERTコーディネーションセンター理事、一般社団法人公衆無線LAN認証管理機構代表理事、奈良県警察サイバーセキュリティ対策アドバイザーなど数多くの公職も務める、猪俣 敦夫 教授に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。







事故が起きたときに頼れる人の存在
−サイバーセキュリティ対策を実施しないリスクは何でしょうか。
「リスクと聞くと、車や電車の事故が起きるといったことがまず思い浮かびます。そうした脅威みたいなものをベースに考えると、「うちにはそんなのないよ」という風に思ってしまいがちです。しかし、漏洩事故とか火事で燃えるといったことをイメージできないとすると、実際に起きてしまったときに何の対策もできていないということになります。起きてしまったときに、誰に頼るかというところすらできない、このことが最大のリスクです。」

−何が対策の最初の一歩になりますか。
「いざ何かあったときに頼れる人を普段から把握しておくことです。その上で経営者が知っておかなければならないのは細かい技術の知識ではありません。自社が持っている資産が一体どういう脅威を生み出す可能性があるかを、自分自身で知っておくことがまず大事です。」

ほとんどが人間系の事故
−最低限知っておくべき知識や心得は何でしょうか。
「実際起きている事故の多くは、技術的なサイバー攻撃よりも、圧倒的にうっかりミスや伝達ミス、例えばカバンを電車に忘れるとかそういうレベルのものが多い。そうした人間の行動に起因する部分を私はヒューマンインシデントと呼んでいます。情報を持って出張に行くとか、お客さんのところに行くというのは、非常に重いことをしているということを意識できるだけで、多くの事故を回避できます。小さな子どもに向けたような話ですけど、こうした当たり前なことができていないことが多いのです。」

中くらいの投資
−セキュリティ投資は費用対効果が見えにくいと言われます。
「セキュリティ投資効果(ROSI)1という考え方があるのですが、セキュリティ投資というのは、中くらいの対応が実は一番投資効果が高いと言われています。結局やり過ぎるとすごく金額がかかってしまい、費用対効果がよいなんて言えなくなっていきます。セキュリティというのは、頑張って生み出される最善の結果は0円なんです。だから、0円のために10億円投資するのかみたいな、本来の目的からずれた話になるわけです。ですから、いくらの金額のシステムを入れたら安心かということではなく、自社の情報資産だったらここまでのリスクは受容できるかなと考えた上で、投資の判断をすることが必要だと考えます。」
 
1 ROSI(Return On Security Investment:セキュリティ投資効果)とは、セキュリティ投資から得られる効果を算出する指標のひとつです。
 

サイバーセキュリティは社会・取引先からの要請
vol.6 大阪経済大学 准教授 金子啓子 氏

 パナソニック株式会社など民間企業における企業法務及び個人情報保護・情報セキュリティのグループガバナンス構築に関する豊富な実務経験に基づき、大阪経済大学において情報法や情報セキュリティマネジメントの研究を行う、金子啓子 准教授に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。









取引先への損害、信用失墜
−サイバーセキュリティ対策を実施しない最大のリスクは何でしょうか。
「社会的な信用を失うことです。個人情報の話はよく報道されるので認識が高まっていますが、自社が踏み台1にされ、知らないうちに自分がマルウェア2を送り込む側となり、お客様や社会に被害を与える可能性があることにはまだ気がついていないところも多いと思います。そのため、サプライチェーンを通じたサイバーセキュリティが重要と言われています。3

−対策が不十分な中小企業こそターゲットになりますね。
「はい、サプライチェーンの最も弱いところが狙われます。サイバー攻撃というのは、狙いがあってやってくるという認識を持つ必要があります。それでも自分のところは狙われるような資産はないと考える方も多いと思いますし、これまで取引先からサイバーセキュリティ対策について聞かれたことなどないとおっしゃるかもしれません。しかし逆の立場になってみてください。取引先が事故を起こした場合、何も言わないでその企業と取引を継続するでしょうか。そのあたりも突き詰めて考えてみると認識も変わってくるかなと思います。」

基本的対応で防げる事故が大半
−今日からでもできる対策はありますか。
「よく言われることですが、セキュリティ事故の大半はごく基本的なことがちゃんとやられていないことに原因があります。高価なツールを入れていないといけないということでは必ずしもありません。例えば、古いOSを使っていないかチェックする、最新の状態にアップデートするなど、それだけでも随分違うはずです。」

出入り業者扱いされがちな情報システム部門
−社内で情報システム部門の位置づけが低い企業もあります。
「経営者が情報システムの責任者に聞くと、「うちの会社は対策が出来ています」と言われたりするものですが、実際にログを見ている人達やネットワークの管理をしている人達は冷や冷やしているはずで、そういう現場の人達から素直に話を聞けるようにしておくべきです。情報システム部門は現業部門からなぜこれができないのかと、まるで出入りの業者のように言われたりして肩身が狭かったりしますが、大きな事故を経験した会社の経営者ほど、情報システム部門に対して日頃から耳を傾けています。」
 
1 サーバやPCが外部の第三者に乗っ取られ、不正アクセスの中継地点や迷惑メールの発信源などに利用されてしまうことを、「踏み台にされる」といいます。
2 マルウェアとは、ウイルスソフトなど、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。
3 材料や部品の調達から製造、出荷、流通、販売などの「モノの流れ」を指すサプライチェーン(供給連鎖)のうち、セキュリティ対策が不十分な企業を狙ったサイバー攻撃が発生しており、サプライチェーン全体でのセキュリティ対策が重要と言われています。
 

自分の会社では起きないと信じる理由はどこにもない
vol.7 産業技術総合研究所 サイバーフィジカルセキュリティ研究センター ソフトウェアアナリティクス研究チーム長 森彰 氏

 2018年11月に設立した産業技術総合研究所サイバーフィジカルセキュリティ研究センターにおいて、サイバー空間(仮想空間)とフィジカル空間(現実空間)のやりとりをリアルタイムで最適制御するための技術開発に取り組む、ソフトウェアアナリティクス研究チーム長 森 彰 氏に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。




サイバー攻撃は、現実世界に被害をもたらす
−サイバーセキュリティ対策を実施しないリスクは何でしょうか。
「セキュリティ事故は一度起きてしまうと、コントロールできないということです。例えば、個人情報を漏洩させると回収は不可能なため、リスクは最大化してしまいます。サイバー空間だけの話であれば、データを盗まれてもそれだけだという見方もできるかもしれません。しかし、今はサイバー空間で起こったことは、現実空間にフィードバックされ、身近な現実世界で被害をもたらすケースが多く、パソコンのように再起動したり、リセットしたりすることもできません。被害を元に戻すことはできないので、事故が起きてから対策するというのでは遅いということを分かっていただかなければなりません。」

確認できても安全とは言い切れない現実
−サイバーセキュリティ対策は難しいという印象があります。
「デジタル情報というのは、コピーできて劣化しないという点が最大の特徴ですが、それが改変されたりするので、何がリアルなのかが分からなくなってきていて、人間がその真偽を確認できるかどうかも怪しくなっています。だからセキュリティというものもよく分からないという意識もあると思うのですが、世界中で起こっている事例を見ていくと、訴訟リスクも、法的リスクも、経済的リスクもあり、現実として発生している問題だということを受入れざるを得ません。同じことが自分の会社では起きないと信じる理由はどこにもなく、当事者感覚が不可欠ですが、自分にとって難しいのであれば、それを理解して解説できる人をまず一人見つけて指名する、というところが第一歩かなと思います。」

経営者は日々の綱渡り感を共感できるか
−経営者は情報システム部門とどう接するべきでしょうか。
「例えば個人情報保護は、セキュリティの技術的な問題というよりもコンプライアンスの問題で、とにかくそれを守らないといけないというコンセンサスがあるので、出来ないと本当に会社が潰れるという話になります。情報システム部門は、そういう分野で日々ものすごいリスクにさらされていて、正直綱渡りみたいな感じでやっていますが、その綱渡り感が共有できるかというところになります。そんなの関係ない、利益に直結しないという経営者がいるとすれば、それはどうしようもないです。逆に経営者が聞く耳を持ってみようと思えば、自ずとよいコミュニケーションができるのではないでしょうか。」
 

ページトップへ戻る