トップページ > 施策のご案内 > 情報化推進 > 関西サイバーセキュリティ・ネットワーク > 2020年サイバーセキュリティ月間企画 > vol.15 NPO日本ネットワークセキュリティ協会(JNSA) 嶋倉 文裕 西日本支部長

地域のキーパーソンに聞く~経営課題としてのセキュリティ~

地域のキーパーソンに聞く~経営課題としてのセキュリティ~

vol.15 NPO日本ネットワークセキュリティ協会(JNSA) 嶋倉 文裕 西日本支部長

最終更新日:令和2年2月25日

セキュリティは外部からの期待感

vol.15 NPO日本ネットワークセキュリティ協会(JNSA) 嶋倉 文裕 西日本支部長

西日本に集積する中小企業を対象に、リスクの変化に応じた機動的な対応を行うことができる機会づくりを支援する、NPO日本ネットワークセキュリティ協会(JNSA) 嶋倉 文裕 西日本支部長(富士通関西中部ネットテック株式会社)に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。

万一事故が起こったとき、ちゃんと謝ることができるか

-経営者がセキュリティ対策についてまず認識すべきことは何でしょうか。

「経営者は、自社のビジネスのお客様が誰であるかを意識し、お客様に迷惑をかけたくないと考えているはずですが、万一事故が起こったときには、ちゃんと謝ることができるかという観点も大事です。つまり、「自社ではここまでのリスクに対して、日々の業務の中でこういう仕組みを作って対応していたが、事故が起こってしまった」ということを、社長が自らの言葉で説明できるかどうかで、説明責任を果たしたかどうかの評価が大きく変わります。」

-自社に見合うセキュリティ対策をどのように考えればよいでしょうか。

「結局のところ、セキュリティというのは自発的なものではなく、お客様や外部からその会社に対する期待感と言えます。生産や出荷が止まる事態になれば、外部を巻き込み大きな損失が発生しますし、個人情報を漏洩させると、コールセンター設置や裁判費用などの出費もかさむでしょう。そうした将来発生しうる損失に対して、自分達が外部の期待に応える対応ができていると言えるためには、自社の儲けの範囲でどのような投資をすべきか、と考えてみるとよいかもしれません。」

経営者が考える「リスクとは何か」が共有されているか

-経営者は情報システム部門とどのようにコミュニケーションすべきでしょうか。

「情報セキュリティは際限がないので、情報システム部門としては経営者から「いつまで金をかければ出来るのか」と言われるのが辛いです。経営者にはお金の話からではなく、経営者が考えるリスクとは何なのかをまず話してもらえればと思います。そしてリスク認識を共有した上で、現在どこまでのリスクに対応できていて、今後どうなっていくのかという話ができると、情報システム部門とのコミュニケ-ションはスムーズになるのではないでしょうか。」

セキュリティ・バイ・デザインという考え方

イメージ

-情報システム部門は、「何も起こらないことが当たり前」で成果が見えにくいと言われます。

「JNSAでは、情報セキュリティとしての、KGI(Key Goal Indicator:重要目標達成指標)とKPI(Key Performance Indicator:重要業績評価指標)を設定しようと言っています。例えば、マルウェア#1に感染して製品を出荷できないという状況を0件にするという目標(KGI)を立てて、それを達成するための施策を実施するわけですが、その施策がうまくいっているかどうかを評価するためのKPIを作成します。システムを導入してから目標設定するのではなく、導入するときに情報セキュリティ対策の目標を決めて、それに対する評価基準をあらかじめ設定しておくという「セキュリティ・バイ・デザイン」という考え方を、経営者と共有することが重要になります。」



#1 マルウェアとは、ウイルスソフトなど、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。

一覧ページへ戻る

このページに関するお問い合わせ先

近畿経済産業局 地域経済部 次世代産業・情報政策課
住所:〒540-8535 大阪市中央区大手前1-5-44
電話番号:06-6966-6008
FAX番号:06-6966-6097