セキュリティ対策は
取締役会で議論すべきテーマ
ビジネスプロセスの一環として取り組むことが重要

設計時から安全を
ビルトインする考え方

「セキュリティ対策は、ビジネスプロセスの一環として取り組むことが重要です。守りの側面だけでなく、自社の商品・サービスに安全・安心といった付加価値をつける、戦略的なセキュリティ対策が問われています」。こう切り出したのは、慶應義塾大学環境情報学部教授の徳田英幸氏だ。

 さまざまなモノがインターネットでつながり、新たなサービスが生み出されるＩｏＴ時代には、たとえば自動運転を行うコネクテッドカーが、サイバー攻撃によって乗っ取られ、人命にかかわる重大な事故につながる可能性もある。

 事実、2015年に米国でＳＵＶがハッキングによって外部から遠隔操作され、大きな話題となった。もっともこれは、セキュリティの専門家による実証実験の結果だったが、ネットに常時接続するハイテクカーの脆弱性が指摘された形だ。

「情報セキュリティへの脅威はいわば“生もの”です。時代とともに進化していますから、我が社はどうすべきか、絶えず取締役会でセキュリティ対策を議論する必要があります。企業経営者は経営方針や財務戦略を検討するのと同等のレベルでセキュリティについて考える時代になったのです」

 そう話す徳田氏が企業側に提唱するのが、「Security by Design（セキュリティ・バイ・デザイン）」という思想だ。これは、モノやサービスの設計段階において、運用、保守、管理、廃棄に至るまでのプロセスを見据え、セキュリティをビルトインするという考え方である。

 後付け的な対応ではなく、設計段階からのセキュリティ対策が重要だ。それを広く国内企業に浸透させるべく、徳田氏が座長を務めるワーキング・グループ「スマートＩｏＴ推進フォーラム」では、ＩｏＴデバイスやＩｏＴ関連サービスを提供する1000社以上の企業が参加して、来るべきＩｏＴ時代のセキュリティに関するガイドラインの策定に着手しており、この5月下旬に公表される予定だ。

サイバー空間を知れば
ビジネスチャンスに

 マネジメント層の意識改革や、セキュリティ・バイ・デザインの考え方もさることながら、企業経営者にとって一番の悩みは、セキュリティ対策の実務をリードするＣＴＯ（Chief Technology Officer）やＣＳＩＯといった人的リソースをいかに確保するかではないだろうか。

 ビジネスだけでなく、ＩＴ、セキュリティについても理解している高度ＩＴ人材の育成は急務であり、産官学をあげて取り組みが行われている。しかし、

一朝一夕にはいかないのが実情だ。企業経営にかつてないスピード感が求められる現在、セキュリティの脅威も待ったなしである。

「セキュリティ対策の推進に当たっては、コンサルティング会社など、外部の専門家を活用するのも一つの方法でしょう」と徳田氏はアドバイスする。だがもちろん、外部の専門家に任せっきりにするのではなく、経営トップがリーダーシップを発揮し、方向性を指示することが重要だ。

「企業経営者も自らＩＴやセキュリティに対する理解を深めることが大切です。物理空間だけでなく、サイバー空間について知ることは、ビジネスチャンスを広げることにもなります」（徳田氏）。

 企業側においてセキュリティ・バイ・デザインの考えが実践され、安全・安心を付加価値とする商品・サービスが生み出されることが、日本の国際競争力を回復することにもつながるに違いない。