情報セキュリティ対策は情シスではなく、経営企画や総務が取り組むべき理由

経営者、管理者の役割とは？
まずはサイバーセキュリティに関心を持つ

　情報セキュリティは、経営問題だということを踏まえた上で、経営者や責任者にはどのような態度が求められるのか。

　大企業や政府・自治体等では、サイバーセキュリティ関連役職「CISO(Chief Information Security Officer)」に就く人が、他の役職を兼務している何の知識もない「あて職」であるケースが多い。そして、サイバーセキュリティのことはよく分からないが、予算獲得には高位の人が望ましいと言われることも少なくない。

　実際、CISOやCIO（システム部門長）が、「何も知らない」ことを自慢しているという話をよく聞く。知らないことがなぜ自慢になるのだろうか？　なぜ、部下に相談したり、社外で話を聞いたりしないのだろうか？

　かつて、大企業で、営業と人事しか経験がないにもかかわらず、システムの一部門の管理者になった部長がいた。システム部門長会議後に、「この部分がよく理解できない。分かりやすく教えてくれ」と私に尋ねてきた。当然ながら、説明する側には誰でも分かるような説明が求められる。

　ある大企業のCEOが、1月に韓国で大規模なシステム障害の発生[2]をTVの報道で知り、自社のシステム担当役員に「当社は問題がないか？」と電話で尋ねたところ、担当役員は担当課長に同じ質問をしたという。 担当課長は、「当社のネットワークでは昨年8月に対応し、正常に稼働しています」と回答し、担当役員からCEOにこの情報が返された。

　CEOがシステムやネットワークに詳しくなくても、この問題に関心・興味を持ってくれたことに、担当課長以下、担当者は非常に感激したと語っていた。

　サイバーセキュリティが企業経営に大きな影響を及ぼす、あるいは問題が起これば経営者が退任に追い込まれるケースもある。それを考えると、最低でも経営者にはサイバーセキュリティへの興味・関心を持つことが求められ、それが被害を防ぐ第一歩になるだろう。

（情報セキュリティ大学院大学名誉教授　内田勝也）

【参考文献】
[1] ZDNet Japan「『WannaCry』被害の英病院、パッチ適用の警告を無視していた」
[2] atmarkit「SQLワーム被害に『人災だ』の声、日本での影響は軽微」