時代とともに複雑化する情報セキュリティの脅威。さまざまなモノがインターネットでつながり、新しいサービスが生まれるIoT時代には、IoTゲートウェイや情報家電などを通じた、新たなサイバー攻撃が登場するかもしれない。守りのセキュリティ対策から戦略的セキュリティ対策へ、企業経営者は発想の転換が問われている。IoT時代のセキュリティ対策の推進について、慶應義塾大学環境情報学部教授の徳田英幸氏に聞いた。
慶應義塾大学環境情報学部教授
徳田 英幸氏
1952年東京生まれ。90年慶應義塾大学・環境情報学部助教授。96年同教授。01年同大SFC政策・メディア研究科委員長。慶應義塾大学大学院政策・メディア研究科委員長、環境情報学部教授。現在内閣サイバーセキュリティセンター(NISC)情報セキュリティ補佐官を務める。
2015年12月、経済産業省が独立行政法人情報処理推進機構(IPA)とともに策定した「サイバーセキュリティ経営ガイドライン」が公表された。
主にITに関するシステムやサービスなどを供給する企業や、経営戦略上ITの利活用が不可欠である企業の経営者を対象として、サイバーセキュリティ対策を推進するため、経営者が認識する必要のある「3原則」と、情報セキュリティ対策を実施するうえでの責任者となる担当幹部(CSIO:Chief Information Security Officer等)に指示すべき「重要10項目」をまとめたものである。
セキュリティ投資は
コストではなく経営課題
「3原則」の最初には、以下の通り記されている。
「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい。このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう」
セキュリティ対策はもはやコストではなく、企業収益や企業価値を大きく左右する重要な経営課題であり、経営トップのコミットメントが不可欠と国が示した格好だ。しかしながら、セキュリティ対策の推進に対して、我が国の経営者は十分なリーダーシップを発揮していないのが現状である。
経済産業省の調べによると、「積極的にセキュリティ対策を推進する経営幹部がいる企業」は海外の59%に対し、日本は27%に留まった。また、「サイバー攻撃の予防は取締役レベルで議論すべきか」との問いに対し、「非常にそう思う」と回答した経営者は海外では半数以上に上るが、日本は13%という結果だった。
