トップページ > 施策のご案内 > 情報化推進 > 関西サイバーセキュリティ・ネットワーク > 2020年サイバーセキュリティ月間企画 > vol.5 大阪大学 猪俣 敦夫 教授
最終更新日:令和2年2月7日
情報セキュリティ分野の人材育成の取組に力を入れる大阪大学に所属し、一般社団法人JPCERTコーディネーションセンター理事、一般社団法人公衆無線LAN認証管理機構代表理事、奈良県警察サイバーセキュリティ対策アドバイザーなど数多くの公職も務める、猪俣 敦夫 教授に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
-サイバーセキュリティ対策を実施しないリスクは何でしょうか。
「リスクと聞くと、車や電車の事故が起きるといったことがまず思い浮かびます。そうした脅威みたいなものをベースに考えると、「うちにはそんなのないよ」という風に思ってしまいがちです。しかし、漏洩事故とか火事で燃えるといったことをイメージできないとすると、実際に起きてしまったときに何の対策もできていないということになります。起きてしまったときに、誰に頼るかというところすらできない、このことが最大のリスクです。」
-何が対策の最初の一歩になりますか。
「いざ何かあったときに頼れる人を普段から把握しておくことです。その上で経営者が知っておかなければならないのは細かい技術の知識ではありません。自社が持っている資産が一体どういう脅威を生み出す可能性があるかを、自分自身で知っておくことがまず大事です。」
-最低限知っておくべき知識や心得は何でしょうか。
「実際起きている事故の多くは、技術的なサイバー攻撃よりも、圧倒的にうっかりミスや伝達ミス、例えばカバンを電車に忘れるとかそういうレベルのものが多い。そうした人間の行動に起因する部分を私はヒューマンインシデントと呼んでいます。情報を持って出張に行くとか、お客さんのところに行くというのは、非常に重いことをしているということを意識できるだけで、多くの事故を回避できます。小さな子どもに向けたような話ですけど、こうした当たり前なことができていないことが多いのです。」
-セキュリティ投資は費用対効果が見えにくいと言われます。
「セキュリティ投資効果(ROSI) #1という考え方があるのですが、セキュリティ投資というのは、中くらいの対応が実は一番投資効果が高いと言われています。結局やり過ぎるとすごく金額がかかってしまい、費用対効果がよいなんて言えなくなっていきます。セキュリティというのは、頑張って生み出される最善の結果は0円なんです。だから、0円のために10億円投資するのかみたいな、本来の目的からずれた話になるわけです。ですから、いくらの金額のシステムを入れたら安心かということではなく、自社の情報資産だったらここまでのリスクは受容できるかなと考えた上で、投資の判断をすることが必要だと考えます。」
#1 ROSI(Return On Security Investment:セキュリティ投資効果)とは、セキュリティ投資から得られる効果を算出する指標のひとつです。
近畿経済産業局 地域経済部 次世代産業・情報政策課
住所:〒540-8535 大阪市中央区大手前1-5-44
電話番号:06-6966-6008
FAX番号:06-6966-6097