第23期経営倫理士講座 第6回⑨講義レポート

講師:杉野 隆
講師所属等:国士舘大学 元教授 /一般社団法人情報システム学会 名誉会員
講義テーマ:「企業リスクと情報セキュリティ」

表裏一体の「情報の重要性と脅威」を認識して

 第6回講義⑨は7月16日、小山嚴也氏の講義⑧に続き、杉野隆氏による「企業リスクと情報セキュリティ」。 企業経営における情報セキュリティの重要性を確認するとともに、情報セキュリティマネジメント、リスクマネジメント、情報セキュリティガバナンスなどの概念を通して、リスクをコントロールするということについて概説された。

■ICTのもたらすリスクが企業存続にも

「不正を起こしにくい環境づくりを」と杉野講師

 2017年5月に発行された「新産業構造ビジョン、一人ひとりの世界の課題を解決する日本の未来」でも、情報が重要性を持っていて、コアとなる技術革新として、IoT、ビッグデータ、人工知能、ロボットのそれぞれの技術が独立でなく、相乗的に効果を発揮していくと記載されている。
 しかし、情報が重要性を帯びているのと同時に、情報漏洩(ろうえい)などの企業不祥事は後を絶たない。今や、ICTのもたらすリスクが企業の存続をも脅かす大きなリスクとなってきている。サイバー攻撃、不正アクセス、システム障害、標的型攻撃、ビジネスメール詐欺、ランサムウェアなど、企業は大きなリスクに取り囲まれている。

 リスクには、守るべきもの(情報資産)、情報資産を狙うもの(脅威)、情報資産の弱点(脆弱=ぜいじゃく=性)の3つの要素があり、企業はリスクに対して4つの対応策がある。
☆直接的対応(インシデントを発生させない)
 ①リスク回避(リスクの発生そのものを排除する対応)
 ②リスク移転(保険などを他社と契約し、リスクを肩代わりさせる対応)
 ③リスク受容(リスクに伴う損害が小さいなどの場合、リスクをそのまま放置)
☆間接的対応(インシデントの発生を緩和させる)
 ④ リスク制御(セキュリティ対策でリスクを管理・制御し、リスクを軽減させる)

■情報セキュリティの3つの概念と原則

情報セキュリティの概念には次の3つがある。
・機密性(情報漏洩防止、アクセス権限の設定など)
・完全性(情報及び処理方法が正確で完全であること)
・可用性(許可されたものが情報や情報資産に確実にアクセスできることを確実にすること)

 経営者は情報や情報資産を脅かすサイバー攻撃の脅威に対して対策を取らなくてはならない。そのサイバーセキュリティ経営には3つの原則がある。
 ①経営者はリスクを認識し、リーダーシップによって対策を進める必要がある
 ②自社のみならず、ビジネスパートナーを含めた対策が必要である
 ③平時及び緊急時のいずれにおいても関係者との適切なコミュニケーションが必要である

■外部攻撃よりも内部不正対策

 具体的な情報セキュリティ対策には、物理的、技術的、人的なセキュリティ対策が必要であるが、人的な対策には、内部不正の対策も含まれる。
 実際、日本では外部攻撃よりも内部不正による事件の方が多く発生していて、実際の具体的事例の紹介が行われた。経営者は内部不正を起こしにくい環境をつくることが重要であり、need to knowの原則、不正が発覚した場合の対策、情報セキュリティ意識の向上について説明があり、最後はテレワーク時のセキュリティ対策にも言及された。

           (講義リポート:ACBEE総合企画委員 鈴木 威生)