対談-TREND PARK Vol.8
トレンドマイクロのエグゼクティブと企業・官公庁のお客様、パートナーとの対談
工学院大学 情報学部 教授 大木 栄二郎 氏
TREND PARK vol.8(2007年5月発行)掲載
情報セキュリティ先進国・日本に提言する
日本版SOX法の施行が迫るにつれて、ITを活用して優れた内部統制を実現しようという動きが高まってきています。
その際に企業が留意すべきポイントは? 日本と欧米の違いは? そして企業が抱える本質的な課題は?
情報セキュリティガバナンス研究の第1人者である工学院大学 情報学部 大木 栄二郎教授にお話を伺いました。
内部統制と日本企業の精神文化
大三川
先日は弊社のイベントで講演していただいて、ありがとうございました。われわれは、パートナー企業を招いてのイベントは数多く実施してきたのですが、エンドユーザを招いたのは初めての経験でした。先生の講演はとても好評で、すばらしいイベントになりました。
大木
ありがとうございます。その後の懇親会では、エンドユーザとどんな話をされたのですか。
大三川
フィリピンのマニラに本拠点を置く「トレンドラボ」をはじめ、大勢のスタッフがソリューション提供に携わっている事実をもとに、トレンドマイクロのセキュリティ対策が優れていると広く伝えた方がセールスアピールになるのでは?と指摘されました(笑)。セキュリティは、直接的に生産性を高めるソリューションではありませんが、エンドユーザの意識が高まっていることを感じました。先生に講演いただいた内部統制についても同様に生産性より意識が問われる分野ですね。最近、具体的な新しい動きが出ていますか。
大木
株式を公開している企業にとって、内部統制の確立が至上命題になってきています。内部統制そのものは、米国で言われていたことが日本に入ってきたもので、日本は米国と事情が異なると政府は主張しています。しかし、投資家と企業の経営者との関係を考えるなら、日本企業も同じ構造の中で説明責任を果たさなければなりません。
日本の企業経営は、現場主体の考え方でここまできました。部長以下、一般社員が一丸となってやるから、経営者は黙って見ていればいいという感覚です。歴史がそうですから、企業の精神的な文化として、そのような土壌は残っています。ところが内部統制となると、トップが決めた方針やルールを現場に徹底させなければならない。この新しい文化を、ITを活用して「見える形」にしながら、組織の中に組み込んでいくことが必要になるわけです。
大三川
たしかに、日本の場合、現場が支えてきた側面は強いですね。ただ、投資家の方々から資金を集め、その資金をどのように運営したかということを報告することは、本来企業があるべき姿なのでしょうね。
大木
その中で内部統制をうまく作っていくのは、トップにとって大きな仕事です。その際に、現場で頑張っている人たちが新しい仕組みの中でうまく動いていくことも考えなければいけません。日本の内部統制における最大の特徴は、ITの対応が明確に示されているところです。いまや、ITなしの企業経営は成り立たないわけで、自分の経営したい方向にITをきちんと機能させることが求められるでしょう。
制限ばかりすると生産性が損なわれる
大三川
ITの利活用により、「見える化」を促進し、投資家を含めたトップの考えをみんなに浸透させていくことは大切です。ここで、そのために不可欠なITインフラについて考えてみませんか。
大木
1980年代まで物づくりで発展してきた日本ですが、現在は情報経済の色彩を強めてきていて、情報そのものが価値を持つようになっています。情報を運ぶものは、インターネットや無線LAN、PDA、携帯電話とさまざま。Winnyで情報が漏洩した、情報を持ち出すな、会社からパソコンを持ち出すなと言ってみても、ほとんどの社員は携帯電話の中にスケジュールや会議メモを入れている(笑)。会社が決めた枠の中に社員の仕事を閉じこめるのはもはや無理な時代です。ITの機能をうまく使って、より生産性の高い発想豊かな仕事のやり方をしてもらった方が、会社にとってハッピーな結果が生まれるのではないかと感じています。
大三川
ある程度のフレキシビリティは必要ですよね。会社に行かなければ仕事ができなくなると、休日出勤や残業が増えてしまい、仕事と家庭のバランスが取れなくなってしまう人もいるでしょう。
大木
仕事の内容にもよるとは思いますが、新たなものを考える部署や研究者が、会社に来なければ仕事ができないというのは了見が狭いです。
大三川
せっかくITで便利になったのに、後退してしまったなと感じます。
大木
パソコンでも携帯電話でも、さまざまなセキュリティの機能をつけて、データを暗号化するなどの対策は取れるはずです。もちろん、機能だけでなく使う人の意識も大切ですが。使う人がセキュリティについて理解して、会社への忠誠心が高い状態で情報を扱いながら、生産率の高い仕事をしていく企業が今後伸びるのではないでしょうか。企業としては、ITを活用できる基盤を作ると同時に、人を育てていくことが必要で、この2つが非常に大きなテーマになると見ています。
セキュリティの標準化を進めよ
大三川
セキュリティの話が出ましたね。内部統制という面では上場企業が対象ですが、ネットワーク社会において中小企業も個人も同じインターネット上につながっています。こうした現状は、どのように認識されているのですか。
大木
日本政府は、セキュリティを非常に重要な政策の1つとしていて、情報セキュリティ先進国になるという目標を掲げています。先進国になるわけですから、一部の大企業だけがやっていてはだめ。大企業と付き合っている中小企業、あるいは頑張っている小さな企業でもセキュリティがきちんと守られている状況にしなければいけません。
大三川
まず大企業、続いて中小企業……という時間軸で取り組めばよいというものでもないですよね。たとえば、製造業は設計や調達、場合によっては製造にも取引先の中小企業や関連企業が絡んできます。
大木
大企業は、自分たちの基準を決めて、付き合っている中小企業に自分たちの基準を満たすように要求しています。一方、中小企業は1社だけと付き合っているわけではないので、さまざまな基準の中で困惑しているのが現状です。同時に進めるべきですが、こうした状況なのでそう簡単には進まないでしょう。この課題を解決するのは、標準化しかありません。
大三川
標準化は急務ですね。取引先から「これでやってくれないと君のところとは取引できないよ」と言われる前に、準備を整えておけるわけですから。
情報セキュリティに市場原理は働かない?
大木
最近、情報セキュリティに市場原理が働いてないと言われることが多くなってきています。これには2つの側面があります。1つは、情報セキュリティ関連の製品ベンダーが複数あり、製品も市場に多数ある中で、消費者がきちんと比較する基盤のようなものが発達していないのです。中には誇大広告を疑うような広告もありますし、その中から消費者が自己責任で選ぶことは困難です。よい製品が認められるような土壌を創り出していかなければいけません。
大三川
もう1点は?
大木
業務委託をする際に、相手がどれだけ正直にやってくれるかわからないことです。セキュリティを運用面で共有したり、情報開示したりすることは難しいですから、セキュリティに手を抜いて表面だけはちゃんとやっているふりをする企業が出てくるかもしれません。手を抜いたぶんだけコストを削減して競争相手より低価格での受注もできますから、そうした企業だけが成長する構造になると問題です。
大三川
同感です。トレンドマイクロは、プライバシーマークを取得していますので、個人情報を取り扱う業務を外部協力会社に委託する場合には、プライバシーマークに基づいた個人情報の扱いを実行できるかどうかといった監査を行っています。
大木
第三者の評価機関は使っていますか?
大三川
はい。使っています。それと同時に、自分たちの中でも標準化を進め、評価システムを作って取引先を評価するようにしています。
大木
第三者による監査は必要です。これからは、きちんとした企業が事業としてうまくいくという市場メカニズムがちゃんと働くような仕掛けが不可欠になってきますから。
大三川
こうした監査の際などに、まじめに取り組んでいる企業が評価されるためには、何が必要になるのでしょう。
大木
まじめかどうかを指標化するというアプローチではなく、情報を開示することによって、それをだれもが見られる状態にすることです。競争相手と比較できる形で情報が開示され、その内容が監査によって検証されるという流れが理想です。
リスク管理と危機管理
大三川
トレンドマイクロは、さまざまなセキュリティ啓発のためのセミナーを、パートナー企業と共に開催しています。最近、中堅中小企業の参加者が増えているのですが、彼らは「いま、何をすればいいのか」をつかもうとしています。何かアドバイスはありますか。
大木
なかなか難しいですね。私も参加した経済産業省の委員会「セキュリティガバナンス研究会」が、情報セキュリティ対策ベンチマークをWebサイトで公開しています。このベンチマークでは、40問ぐらいの質問に答えると、「あなたの企業は何点」と点数が出てきます。これはあくまでも自己評価ですが、1つの取り掛かりとしてはいいのではないでしょうか。それに近いですが、社内でベンチマークを行い、リスクを数量化してつかんでおくことも重要なポイントです。
大三川
リスクマネジメントは内部統制、コンプライアンスに絡む企業の責任として重要ですね。
大木
私の研究テーマでもあります。企業ごとにリスクを数値化した数字は欲しいです。
大三川
リスクマネジメントと並んで、クライシスマネジメントへの認知は高まっていますか。テーマは悪いですが、トレンドマイクロもお客さまに迷惑をかけてしまったことがあります。それまでも通常予測できる範囲のリスクマネジメントは整えていたのですが、それでは対応できませんでした。これまでにないケース、予期することのできないケースに対応するクライシスマネジメントは、整えておかなければいけません。
大木
事業継続計画/管理はガバナンスの柱の一つとして重要視されています。重大事故や天災が起きたときにも自分たちが社会に貢献し続けるという意味で大きなテーマですね。ただ、これは日本人の特性なのか、喉元過ぎれば熱さを忘れる……。阪神大震災後にシステムの事業継続計画を策定しよういう動きが高まりました。しかし、バブル崩壊後で予算削減の時代になりみんなが過去の大障害の記憶を忘れてしまいました。あの計画はどうなりましたかと聞くと、あのままどこかに眠っていますという答え。せっかくマネジメントメカニズムを組み込もうとしていたのに、プライオリティがすぐに下がってしまうのです。
プロフェッショナルを育てよ
大三川
日本と欧米を比べると、その文化的な要素がリスク管理においても表れているように感じます。日本の組織は、1人で何役もこなす。一方の欧米は1人1役なので、見るべきリスクを限定することができる。この違いは大きいと感じます。
大木
日本は官庁をはじめとして、ゼネラリストが出世する文化です。ある道のプロになるということに対して、みんなが尊敬するという雰囲気がないのかもしれません。
大三川
そこが問題になってきそうですね。
大木
ほとんどの日本人は、プロフェッショナルと言うと、俳優や、野球、サッカーの選手をイメージします。しかし今後は、企業の中でもそういうプロをきちんと育てていくことが大切になってくるでしょう。
大三川
企業内においてプロの目で内部統制、セキュリティ、情報セキュリティ、ガバナンスを統括するCRO(リスク担当役員)やCSO(セキュリティ担当役員)を目指すコースが必要ですね。CSOやCROという言葉が大切なのではありません。経営者がスペシャリストとして処遇し、株主に対してもきちんと情報を伝えることができる人材として育成しなければいけません。
大木
ある格付け機関が、「情報セキュリティで事故の起きた企業の株価はその後どう変動したか」「それが株主にどれぐらいの影響を与えたか」といった傾向を分析しています。有価証券報告書のように、セキュリティ報告書を開示する手法や、それを格付けに反映させる手法についても検討が進んでいるようです。日本は情報セキュリティ先進国を目指すわけですから、こうした社会的な仕組みを積極的に整える努力をしなければいけません。
リスクを中心にものを考える
大三川
日本版SOX法が議論されるに伴って、ITとセキュリティが大きな注目を集めています。その中で、今後企業はどこに力を入れていくべきなのでしょうか。
大木
企業のトップは、自社が抱えているリスクをはじめ、取引先のリスクレベル、顧客が許容してくれるリスクに常に気を配るべきです。最近、少しずつではありますが、世の中にリスク評価指標やベンチマークが出てきています。これらを使って、自社がいまどういう位置にあるかをつかんでもらいたいです。この取り組みは、一時点でやったら終わりではありません。継続的に、リスクを中心とした価値観で考えていく体制を整えることがいま最も重要なことだと考えています。
大三川
トレンドマイクロはセキュリティの専門家ですから、幅広いリスクの中でも、特にセキュリティの視点から企業におけるリスク意識の気付きにつながる活動が出来ればと考えています。
さらに実際の企業活動をサポートするソリューションとしては、当社1社だけではなく、パートナーと連携した形での提供を進めていきます。
大木
今後、ワークスタイルは大きく変わるでしょう。場所を問わずに自由に情報に接して仕事ができる環境を提供すると、できる人は仕事のプロとしてさまざまな仕事のやり方をするはずです。私は、そうした際にパソコンや携帯電話を駆使しながら安心して仕事ができる環境を創り出すことをトレンドマイクロに期待しています。
大三川
ありがとうございます。みなさまに安心していただけるようなネットワーク、セキュリティインフラの部分で寄与できるように頑張っていきますので、今後ともよろしくお願いします。本日はありがとうございました。
大木
こちらこそ、ありがとうございました。
大木 栄二郎(おおき・えいじろう)
1970年日本アイ・ビー・エム株式会社に入社。ネットワークとセキュリティを中心としたコンサルティングを担当し政府の委員会等にも参画。2003年 IBMビジネスコンサルティング サービスにて、チーフセキュリティオフィサーとして同社のセキュリティ施策を確立。2006年工学院大学 情報学部教授に就任。現在に至る。
