「セキュリティ基礎講座 富士美咲のセキュリティ始めます!」では、特別企画として、富士通のセキュリティプロフェッショナルにインタビューを行ないました。登場するのは、情報セキュリティのコンセプト「富士通のエンタープライズセキュリティアーキテクチャー(ESA)」の策定に携わり、日々、お客様とともにセキュリティ対策を実現している、第一線の方々です。
前編テーマ「富士通から見る 企業セキュリティの課題と将来展望」と、後編テーマ「ESAが解決する 情報セキュリティガバナンス」の2回にわけて掲載します。
「部分最適」な対応に追われる企業 セキュリティ対策には課題がさまざま
最初に、情報セキュリティの現状について教えてください
大湖
2000年代に入った頃、日本では官公庁や大企業のホームページが外部からの不正アクセスによって相次いで改ざんされるという事件が起き、社会に衝撃が走りました。それ以降、情報セキュリティに絡む事件や事故が急激に増加し、国、企業それぞれのレベルでシビアな対応に追われてきた、そして、今も対応に追われている、というのが現実ではないかと思います。
具体的な調査データからは【注1】、まず、情報セキュリティの事件・事故の届出件数については減少しているが、手口が巧妙化して特定サイトへの攻撃が増えている、という傾向が読みとれます。また、昨今は個人情報に関する情報漏えいが社会問題になっており、特に、業務の委託先企業をまきこんだトラブルが目を引きます。お客様に直接、接する機会の多い私としては、企業のセキュリティに関する状況は厳しいというのが率直な印象ですね。
【注1】 情報セキュリティの事件・事故の動向
届出件数は減少するも、被害件数は変わらず。原因不明件数が増加
非技術的な原因が上位を占める。漏えい件数は減少にあるが、漏えい人数は増加
国や経済界、産業界はセキュリティ対策にいろいろ動いているようですが
奥原
そうですね。たとえば政府は2006年に、国をあげてセキュリティに強い体制や仕組みを構築しようということで「セキュア・ジャパン」構想を打ち出しました。またこれと並行して、経済産業省では、情報セキュリティに強い企業を作る枠組みとして「情報セキュリティガバナンス」を定義し、強力に推進しています。この「情報セキュリティガバナンス」は、「事業継続」や「内部統制」とともに語られる重要ワードということもあって、最近アチコチで耳にする機会が増えていますね。
大湖
加えて近年、企業活動に影響を与えているのは、2005年の「個人情報保護法」と今年度からの「金融商品取引法」(日本版SOX法)でしょうか。いわゆる日本版SOX法は、企業にさまざまな面で統制(内部統制)を要求していますが、その中のIT全般統制は、情報セキュリティに関与する部分が少なくありません。今後は、これらIT統制やITガバナンスが、企業の情報セキュリティを考える際のキーワードになってくるでしょうね。
情報セキュリティに対する企業側の対応はどうなっていますか
大湖
一言で言えば、企業における情報セキュリティ対策は、次々に登場する新しいタイプの攻撃や事故を後追いするように講じられてきたと言えます。ホームページの改ざんが起きると、その種の攻撃を検知するシステムや製品が導入され、個人情報保護法が施行されると情報漏えい対策が施される、といった対応の繰り返しです。対症療法的というか、受け身のスタンスが続いています。
奥原
むしろ、振り回されてきた、と言ったほうが近いかもしれませんね。今は、内部統制への対応にそれが移っている。
大湖
お客様は、セキュリティの重要さはわかっているのです。情報セキュリティの管理はITではなく、企業経営上のミッションだと、セキュリティに対する視点も変化しつつあります。ですが、実際のセキュリティ対策には、いくつか課題が存在しています。
たとえば、セキュリティ管理を担当されている現場の方々からは、「セキュリティの投資効果が見えない」「トップの理解が得られない」「コストがかかりすぎる」「どこまで対応すればいいのか基準がない」などの声をよくお聞きします。これらは、データにも裏づけされた、セキュリティ対策実施上の主要課題ですね【注2】。
奥原
そう。企業のセキュリティ担当の方々は日々、たいへん奮闘なさっておられます。一方、メーカーやベンダーのほうも、事件や事故を後追いするような「対策」製品・サービスばかりに注力を求められていると感じています。だから、これでいいのか、という疑問というか、議論がわいているわけです。
大湖
言い換えれば、対症療法のようなセキュリティ対策をこのまま続けていくのか、ということです。実際、1社だけで数十種類もの情報セキュリティ製品を導入している企業の例もめずらしくない。そういうこともあり、この先も「部分最適」でいいのか、という問題意識がセキュリティの導入側にも提供側にも少しずつ出てきています。
【注2】 情報セキュリティ対策実施上の問題点
「どこまで行なえば良いのか基準が示されていない」「費用 対 効果が見えない」「対策を構築するノウハウが不足している」「コストがかかりすぎる」などが、問題点の上位を占める
セキュリティ対策やセキュリティ投資が 企業価値の向上に結びつくために
では、どのようにセキュリティ対策をとらえたらいいのでしょうか
奥原
これまでの「部分最適」に対して、これからは「全体最適」のセキュリティ対策が必要なことは、お客様企業にもIT企業にも見えていると思います。ですが、情報セキュリティの重要性をわかっている企業が、セキュリティ投資を行なわないのにはそれぞれ理由があるのだと思います。そこを、なぜセキュリティ投資をしないのか、部分最適のセキュリティではダメだと言い続けるより、セキュリティ投資をすることで獲得できる効果や利益を提案・提供するほうが大事なのではないか、と考えています。
つまり、企業のセキュリティを、現在のような部分最適なまま終わらせるのではなく、また昨今、国や時代が求めるコンプライアンス対応、あるいは、ビジネス活動上、避けて通れない多種多様な認証取得のためというのでもなく、企業におけるセキュリティ投資は「企業の価値を上げるもの」という新たな位置づけを行ないたいと思っているのです。
大湖
富士通では先ごろ、情報セキュリティに加え、事業継続やフィジカルセキュリティなどを含めた「安心安全ソリューション:SafetyValue(セーフティバリュー)」を発表しました。これはまさに、先進的でかつ安心安全なIT環境を実現して、企業の徹底した見える化と利便性向上を図ることで、お客様の企業価値向上を支援しようというものです。
具体的には、企業がビジネスを、全社的に統合されたセキュリティ基盤や最適化されたセキュリティ対策の上で継続することは、企業のサービス/製品を利用する人に、あるいは、企業へ投資しようという人に大きな安心を与えます。これらは、今後ますます重要になり、企業の価値となっていくはずです。その安心や安全という価値を築くものこそ、セキュリティなのです。
セキュリティと企業価値向上の関係を、もう少し詳しく教えてください
大湖
非常にわかりやすい言い方をすれば、企業が『われわれのビジネスは安心してご利用いただけます』と胸を張って宣言できたり、顧客が『あの企業は高セキュリティで、安全なビジネスを遂行している』と評価できるように、セキュリティ投資がさらなる企業価値の向上に結びつくことを、富士通はサポートしていきたいのです。
奥原
企業セキュリティの役割は、これまで情報資産を大切に“守る”ことがメインでした。けれど、そこにとどまるのではなく、お客様の企業価値向上を支援・実現するという“攻め”の姿勢に転じたい、と志しています。企業において盾(たて)としてとらえられてきたセキュリティを、矛(ほこ)として活用しませんか、と問いかけていくつもりです。
大湖
現在、企業が対応に追われている内部統制は、端的に言えば市場や経済を守り、進展させるという構想がベースにあります。そのため企業に対しては、財務諸表の作成・改変に関するあらゆる要素の正確性や正当性を要求しています。セキュリティも同様で、安心安全を実現することで、企業のビジネスパートナーやエンドユーザー、また、企業への出資者との間の信頼関係をさらに強固にすることが可能になります。
現時点では、企業セキュリティの事件や事故が起こったからといって、直接的には、人命にかかわる問題に発展したり、企業経営が破綻したとか、倒産したという結果には至っていません。しかし、企業の健全性や安全性がゆらぐと、企業経営や株価に何らかの影響を与えるということは、多くの企業が認識しています。セキュリティ投資は企業経営の重要な要件の1つである、セキュリティ投資は企業価値を向上させるという見方は、徐々に企業に浸透しつつあります。世の中は、日本を含めグローバルに、その方向へと動き始めているように感じます。風向きは、確実に変わっていくでしょう。
セキュリティ投資を企業価値の向上へと結びつける、具体策はあるのでしょうか
奥原
それが私たちの開発した「富士通のエンタープライズセキュリティアーキテクチャー(ESA)」です。ESAは、情報セキュリティへの投資を、企業価値を高める戦略的な投資にするための大きな枠組みと言えます。
それについては、次回のインタビューで詳しく話しましょう。
セキュリティ基礎講座
ESA特別インタビュー・セキュリティプロフェッショナルに聞く
- 【前編】 セキュリティ投資は 企業価値を高めるためのもの 8月4日公開
- 【後編】 ESAは 情報セキュリティガバナンスを確立する道具 8月18日公開
プロフィール
奥原 雅之 おくはら まさゆき
富士通株式会社
情報セキュリティセンター
ソリューション企画部 部長
大湖 高史 おおご たかし
富士通株式会社
サービスビジネス本部
安心安全ビジネス推進室
プロジェクト課長
お問い合わせ
情報セキュリティに関するお問い合わせ
情報セキュリティに関する ご質問、ご相談、資料請求
