地域のキーパーソンに聞く～経営課題としてのセキュリティ～

vol.5 大阪大学猪俣敦夫教授

最終更新日：令和2年2月7日

リスクマネジメントは、技術ではなく人に向き合うところから

大阪大学猪俣敦夫教授

情報セキュリティ分野の人材育成の取組に力を入れる大阪大学に所属し、一般社団法人JPCERTコーディネーションセンター理事、一般社団法人公衆無線LAN認証管理機構代表理事、奈良県警察サイバーセキュリティ対策アドバイザーなど数多くの公職も務める、猪俣敦夫教授に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。

事故が起きたときに頼れる人の存在

－サイバーセキュリティ対策を実施しないリスクは何でしょうか。

「リスクと聞くと、車や電車の事故が起きるといったことがまず思い浮かびます。そうした脅威みたいなものをベースに考えると、「うちにはそんなのないよ」という風に思ってしまいがちです。しかし、漏洩事故とか火事で燃えるといったことをイメージできないとすると、実際に起きてしまったときに何の対策もできていないということになります。起きてしまったときに、誰に頼るかというところすらできない、このことが最大のリスクです。」

－何が対策の最初の一歩になりますか。

「いざ何かあったときに頼れる人を普段から把握しておくことです。その上で経営者が知っておかなければならないのは細かい技術の知識ではありません。自社が持っている資産が一体どういう脅威を生み出す可能性があるかを、自分自身で知っておくことがまず大事です。」

ほとんどが人間系の事故

－最低限知っておくべき知識や心得は何でしょうか。

「実際起きている事故の多くは、技術的なサイバー攻撃よりも、圧倒的にうっかりミスや伝達ミス、例えばカバンを電車に忘れるとかそういうレベルのものが多い。そうした人間の行動に起因する部分を私はヒューマンインシデントと呼んでいます。情報を持って出張に行くとか、お客さんのところに行くというのは、非常に重いことをしているということを意識できるだけで、多くの事故を回避できます。小さな子どもに向けたような話ですけど、こうした当たり前なことができていないことが多いのです。」

中くらいの投資

イメージ

－セキュリティ投資は費用対効果が見えにくいと言われます。

「セキュリティ投資効果（ROSI） ^#1という考え方があるのですが、セキュリティ投資というのは、中くらいの対応が実は一番投資効果が高いと言われています。結局やり過ぎるとすごく金額がかかってしまい、費用対効果がよいなんて言えなくなっていきます。セキュリティというのは、頑張って生み出される最善の結果は0円なんです。だから、0円のために10億円投資するのかみたいな、本来の目的からずれた話になるわけです。ですから、いくらの金額のシステムを入れたら安心かということではなく、自社の情報資産だったらここまでのリスクは受容できるかなと考えた上で、投資の判断をすることが必要だと考えます。」

#1 ROSI(Return On Security Investment：セキュリティ投資効果）とは、セキュリティ投資から得られる効果を算出する指標のひとつです。

一覧ページへ戻る

このページに関するお問い合わせ先

近畿経済産業局　地域経済部　次世代産業・情報政策課
住所：〒540-8535　大阪市中央区大手前1－5－44
電話番号：06-6966-6008
FAX番号：06-6966-6097

ページ上部へ戻る

PDFファイルをご覧いただくためにはAdobe Readerが必要です。