開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2014/06/16

トーマツ丸山満彦氏特別寄稿:企業経営に求められるサイバーセキュリティ戦略とは

【新連載】デロイト トーマツ サイバーセキュリティ先端研究所連載

かつてサイバーセキュリティは「テクノロジー」の問題だった。どういう技術が危険で、どういう技術を使えば安全かというシンプルなロジックで語られることもあった。しかし今、ITは生活と密着に結びつき、企業活動にもなくてはならない存在となった。技術を使う人、あるいはその集団としての企業、さらには国が攻撃の対象となる中で、この問題はテクノロジーだけでなく、既に“人”に関わる「マネジメント」の問題にもなっている。本連載では、デロイト トーマツ サイバーセキュリティ先端研究所のセキュリティエキスパートが持ち回りで、現代の企業経営に求められるセキュリティの要諦について解説していく。

デロイト トーマツ サイバーセキュリティ先端研究所 所長 丸山 満彦

デロイト トーマツ サイバーセキュリティ先端研究所 所長 丸山 満彦

有限責任監査法人トーマツに入所後、会計監査に従事。1998年より2000年までDeloitteのデトロイト事務所に勤務。製造業グループ他米国企業のシステム監査を実施。帰国後、リスクマネジメント、コンプライアンス、情報セキュリティ、個人保護情報関連の監査及びコンサルティングに従事。経済産業省の情報セキュリティ監査研究会、情報セキュリティ総合戦略策定委員会、個人情報保護法ガイドライン策定委員会他、国土交通省、厚生労働省の情報セキュリティ関連の委員会等の委員、日本情報処理開発協会ISMS技術専門部会等の委員を歴任。2012年3月末まで、内閣官房情報セキュリティセンター情報セキュリティ指導官を兼務。

生活や国家安全とも結びつく、サイバーセキュリティの問題

photo
デロイト トーマツ
サイバーセキュリティ先端研究所
所長
丸山 満彦
有限責任監査法人トーマツに入所後、会計監査に従事。1998年より2000年までDeloitteのデトロイト事務所に勤務。製造業グループ他米国企業のシステム監査を実施。帰国後、リスクマネジメント、コンプライアンス、情報セキュリティ、個人保護情報関連の監査及びコンサルティングに従事。経済産業省の情報セキュリティ監査研究会、情報セキュリティ総合戦略策定委員会、個人情報保護法ガイドライン策定委員会他、国土交通省、厚生労働省の情報セキュリティ関連の委員会等の委員、日本情報処理開発協会ISMS技術専門部会等の委員を歴任。2012年3月末まで、内閣官房情報セキュリティセンター情報セキュリティ指導官を兼務。
 スマートフォンの目覚ましで朝起きると、そのままメールとニュースのチェックを済ませる。会社にいくとPCを立ち上げて早速仕事に取り掛かる。インターネットとそれにつながる情報端末、情報システム、つまりサイバー空間に私たちの生活は大きく依存してしまっている。サイバー空間は新しいビジネスを生み、促進している。私たちはサイバー空間に住んでいるともいえる。

 サイバー空間の利用が広まれば広まるほど、私たちの生活は便利になる。しかし、その一方でサイバー空間は、犯罪者などにとっても便利な空間である。サイバー空間は犯罪者にとってのツールとなり、また犯罪の場所ともなる。私たちサイバー空間の住民はサイバー空間を適切に保護する必要がある。そこで安全に生活できるように維持しておく必要がある。

 これから、サイバーセキュリティについての連載を始める。サイバーセキュリティは幅広い。国家レベルで対応をしなければならないことから個人個人が対応をしなければならないことまで、さまざまな領域がある。

 この連載では企業にとってのサイバーセキュリティ領域を中心に考えていこうと思う。どのような展開になるかは、これからのお楽しみである。皆さまの日ごろのサイバーセキュリティ対策への一助となれば幸いだ。

 まず初回は、「マネジメントとテクノロジーの融合」ということで話をしていきたい。

セキュリティ問題はテクノロジーからマネジメント領域に拡大

 下記は、私が米国赴任から戻ってきて間もない頃、日本公認会計士協会のJICPAジャーナル(現在の会計・監査ジャーナル)の2001年3月号に書いた原稿の冒頭文である。

2000年問題を無事に乗り越えたと思った矢先、日本政府のホームページの書き換え事件が起こった。当時私はアメリカに赴任中で、そのニュースはアメリカのメディアでも少なからず取り上げられた。アメリカ人はホームページの書き換えという事実のみならず、政府のホームページ運用の管理状況についても問題視した。「日本政府がホームページのセキュリティについての管理を行っていたのか?」これが彼らの疑問となったのである。

外部業者にホームページの運用を任せることはよくあることである。しかし、「政府のホームページとしてのセキュリティレベルの定義を行い、その定義に従った運営を要求せずに、外部業者に丸投げになっていたのではないか?」と彼らは思ったわけである。また、2000年は企業の個人情報・機密情報が漏えいする事件が相次いだ。これらの事件を通じていえることは、「情報セキュリティというのは単に技術的な問題ではない」ということである。

 省庁のウェブページ改ざんが話題となった2001年ごろの情報セキュリティは技術的な側面が強調されていたと思う。

 その後2002年に、情報セキュリティマネジメントシステム(ISMS)が始まり、情報セキュリティの管理的な側面が強調されだした。いわゆる情報セキュリティのPDCAブームである。

 技術的なセキュリティ対策、オペレーションによるセキュリティ対策、そしてそれらを適切にまとめ上げるセキュリティに対するマネジメント。この考え方は、すでに10年以上前に広く知られており、情報セキュリティ対策の基本的な発想であるといえる。

【次ページ】すべての企業でサイバーセキュリティ対策が必要

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!