Internet Week 2015 セキュリティセッション紹介第12回「企業経営のためのセキュリティ」についてJPNICの木村泰司氏が語る

11月18日から11月21日にかけて、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）主催の「Internet Week 2015 ～手を取り合って、垣根を越えて。～」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、毎年11月に、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。インターネットやその基盤技術に関するエンジニアを主な対象に、最新動向やチュートリアルがある。

- Internet Week 2015
https://internetweek.jp/
連載で、このInternet Week 2015のセッションのうち、情報セキュリティに関する10セッションあまりを選んで、そのセッションの見どころ・意義・背景などを、各セッションのコーディネーターに語ってもらう。

第12回となる今回は、11月18日午後に行われるプログラム「企業経営のためのセキュリティ～基礎と勘所～」について、日本ネットワークインフォメーションセンター(JPNIC)の木村泰司氏に語っていただいた。

---

――今回のInternet Weekではセキュリティ関連セッションが目白押しですが、その中で「企業経営のための」ということは、このセッションは経営者向けに企画されましたか？

海外では、情報セキュリティ侵害に対して、クレジットカードに80億円を超える和解金を支払い、CEOとCIOが退任するという、まさに企業経営に直結するというケースが出始めています。

しかし日本の多くの企業で「情報セキュリティの問題」というと、まだまだ情報システム部門、いわゆるIT部門のみが扱うべき問題と捉えられがちではないでしょうか。そして、このとらえ方によって、企業の中で悪循環にも似た現象が生まれているのではないかと思います。

情報セキュリティに関して、IT部門とそれ以外の部門との間で本質をとらえたコミュニケーションが不足しがちになると、その組織で働く人たちの業務を進める上で不便な仕組みが導入されてしまうことがあります。ある業務の頻度や求められる利便性について本質的な共通理解がないためです。その影響で情報セキュリティに関する投資が無駄なものであったとしてコストが削減されてしまう・・・、こうしてIT部門のリソースが限られてくると、さらに忙しくなってしまい、コミュニケーション不足が進むといった具合です。

こうした悪循環は、IT部門がどう、それ以外の部門がどうといった話ではなく、組織を円滑に運営するという観点で捉えられるべき、企業経営に関わる問題だと考えて、今回、タイトルに「企業経営のための」を入れました。

――今は、経営者とセキュリティ担当者の間に溝があるとお考えなのですね？

そうですね。このセッションの企画にあたっては、企業経営という立場とIT部門の間のコミュニケーションに注目しました。IT部門の担当者と経営の立場の間で「経営者が理解してくれない」「担当者に重要だと言われているが、分からないので任せるしかない」といった構図があるとしたら、この溝に対して何らかの橋渡しが必要ではないかと思います。

ただし、経営者だけに理解を求めるのではなく、IT部門やセキュリティ担当者が経営の視点を持つことを考えてみる。すると同じ状況が、まったく違って見えてくるのではないかと思います。

その意味で、Internet Weekは技術者が多く集まるイベントではありますが、ぜひ経営者の方にも足を運んでもらいたいですね。このセッションは、経営者と技術者の両方の視点から聞いて面白いものにしようと思っています。

またご覧いただきたい対象者の方という意味では、企業経営を一つの例としたリスク管理の現場という観点でも興味深いセッションだと思いますので、組織におけるリスク管理全般に関心をお持ちの方にも聞いていただきたいです。

――経営者は、どの程度情報セキュリティについて理解を深めていくべきだとお考えですか？

「どの程度」と答えるのは難しいのですが、情報セキュリティはほとんどの事業活動に深く関わるものだと思いますので、共通理解を得るという意味においては、とても大事なことだと思います。そのため、このセッションの最初には、JPCERT/CCの村上晃さんに、「情報セキュリティに関してこれだけは知っておくべき」という用語を、経営の立場の方にもできるだけ分かりやすいように解説していただくようにお願いしました。

今回ご登壇いただく講師の方々と打ち合わせていて私自身が勉強になったことなのですが、IT部門やセキュリティ担当者と経営の立場の間では、同じインシデントに対しても捉え方が大きく異なります。例えば、IT部門ではリスクをなくすことを考えているときに、経営の立場ではシステムやサービスそのものを置き換えたりすることによる「リスクトランスファー」といった考え方が入ってきます。相手がどう捉えているのかが想像できれば、コミュニケーションの内容が変わり、ひいては企業としての動き方の変化にもつながっていくのではないでしょうか。

――プログラムの具体的な内容を教えてください。

JPCERT/CCの村上晃さんには、先ほどの用語解説の他に、企業における情報セキュリティのインパクトを経営の立場でも分かりやすいように解説していただきます。ここでは特にIT部門の方には、「どのように説明されるのか」に注目していただきたいです。

次に、ヤフーの楠正憲さんにはマイナンバーを取り上げていただきます。マイナンバーそのものについては「マイナンバーと個人情報保護の基礎と最新動向」というセッションも用意されているのですが、このセッションでは特に、企業の中で何に留意して対応していけばいいのかの勘所を解説していただくつもりです。

日本マイクロソフトの高橋正和さんは、経営者と技術者の両方の視点をお持ちで、経営者と技術者の間にあるコミュニケーションの溝に長らく取り組まれてきた方でもあります。その経験を通じた考え方を、面白く、そして分かりやすいように解説していただきます。

――最後に参加者にメッセージをお願いします。

本セッションは企業経営という、Internet　Weekの中でも若干毛色の異なるテーマを扱っています。しかし、情報セキュリティが企業経営に深く関わっていること、さらにその対応の仕方ひとつで企業経営に大きく影響することを感じられている方もいらっしゃると思います。

今回の講師の方々は、セキュリティの分野でご活躍であると同時に、各々の組織の中で、経営の立場と技術者の立場の間で長らく経験を積まれた方でもあります。お三方がどのような視点を持たれているのかに耳を傾けていただくことで、社内外のコミュニケーションに役立つ新しい視点・ノウハウが得られるのではないかと思います。そんなセッションを目指していますので、多くの方にお越しいただければと思います。

■プログラム詳細

「S10 企業経営のためのセキュリティ～基礎と勘所～」

- 開催日時：2015年11月18日(水)13:15～15:45
- 会場：富士ソフトアキバプラザ
- 料金：事前料金 5,500円／当日料金 8,000円
- https://internetweek.jp/program/s10/

13:15～13:45
1) 経営におけるセキュリティのインパクト～基本的な用語解説を交えながら～
村上晃(一般社団法人JPCERTコーディネーションセンター(JPCERT/CC))

13:45～14:15
2) 企業経営とマイナンバー
楠正憲(ヤフー株式会社)

14:15～14:45
3) 経営と技術を橋渡しするための課題
高橋正和(日本マイクロソフト株式会社)

14:45～15:45
4) パネルディスカッション
モデレーター：木村泰司(日本ネットワークインフォメーションセンター)
パネリスト：村上晃、楠正憲、高橋正和

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。)))