トップページ > 施策のご案内 > 情報化推進 > 関西サイバーセキュリティ・ネットワーク > 2020年サイバーセキュリティ月間企画 > vol.9 近畿大学 井口 信和 教授

地域のキーパーソンに聞く~経営課題としてのセキュリティ~

地域のキーパーソンに聞く~経営課題としてのセキュリティ~

vol.9 近畿大学 井口 信和 教授

最終更新日:令和2年2月14日

セキュリティ対策も防災と同じ視点で

vol.9 近畿大学 井口 信和 教授

近畿大学において、IoTやAI(人工知能)技術者を育成するプロジェクトを推進する一方で、ネットワーク技術者・セキュリティ技術者の養成を支援する教育システムを開発するなど、サイバー社会における攻めと守りの両面から人材育成に取り組む、井口 信和 教授に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。

セキュリティ対策をやらないこと自体がリスク

-サイバーセキュリティ対策を実施しないリスクは何でしょうか。

「最近、海外の企業だと取引先を選ぶ基準のひとつに、セキュリティ対策が十分かという要件が含まれることが増えていると聞きます。セキュリティ事故を起こせば、社会的な信用を失い、経営陣が退任するということも珍しくありません。日本でもこのような動きが広がることが予想されますが、そうなると、セキュリティ対策をやらないことが取引先を失うことに直結しますので、対策をとらないこと自体がリスクになると言えます。」

-どのような対策をとる必要があるでしょうか。

「日本の場合、安全対策そのものがコストだと考えられ、何もないときはお金をかけたくないからやらない、そして問題が発生してから急いで対策するという繰り返しが多いと思います。しかしこれからはそうではなく、経営戦略のひとつとして入っているから事前に準備をしていくという考え方でないと、立ち後れてしまうのではないでしょうか。例えば、防災訓練と同様、セキュリティ事故が起こった際にはどういうルートで情報を共有し、いかに被害を収めるかを日頃から考えておくといった訓練も必要でしょう。」

対策を作って終わりになっていないか

-中小企業でも取り組みやすい対策はありますか。

「自社でできることと、できないことを切り分けて洗い出す作業は、お金をかけずにできます。その上で、実際の脆弱性診断を行うにはある程度お金がかかってくると思いますが、まずは自社のことを知るところからではないでしょうか。また会社のセキュリティポリシーも、政府や業界団体のガイドラインなどを参考にすれば作成することは可能だと思います。しかし、そうしたものを作っただけで満足してはだめで、実行させて守らせないと意味がありません。これは技術の問題ではなく、会社のマネジメントの話ですので、経営者が自分事としてチェックしていく必要があります。」

正常な状態を保つという成果に正当な評価を

イメージ

-経営者は情報システム部門をどう評価すべきでしょうか。

「情報システム部門は、普段何もない正常な状態を保つために仕事をしています。そのため、外から見ると普段は何もしておらず、問題が発生したときになって初めて仕事をしているかのような印象を持たれがちです。経営者は、情報システム部門が社内のネットワーク環境を正常な状態を保っているという点や、想定外のインシデント(事故)が起こったときに、いかに最小限で被害を抑えたかという点を正当に評価すべきです。給与等の処遇面はともかく、情報システム部門がやりがいと誇りを持って仕事ができる環境を整えることは、ますます経営者にとって重要な仕事になっていくと思います。」



一覧ページへ戻る

このページに関するお問い合わせ先

近畿経済産業局 地域経済部 次世代産業・情報政策課
住所:〒540-8535 大阪市中央区大手前1-5-44
電話番号:06-6966-6008
FAX番号:06-6966-6097