トップページ > 施策のご案内 > 情報化推進 > 関西サイバーセキュリティ・ネットワーク > 2020年サイバーセキュリティ月間企画 > vol.24 株式会社さくらケーシーエス 神原 忠明 代表取締役社長
最終更新日:令和2年3月9日
1969年神戸に本社を置く「地域のための計算センター」として創業して以来、兵庫県下の民間企業、地方自治体、金融機関を対象としたシステム構築や運用管理サービス等を重点的に展開する一方、神戸商工会議所等の団体活動を通じて地域のセキュリティ向上にも取り組む、株式会社さくらケーシーエス 神原 忠明 代表取締役社長に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
-経営者がサイバーセキュリティに関して最低限認識しておくべきことはありますか。
「一般的にITリテラシーが低い人や、ITに興味がない人ほどサイバー攻撃の対象となると言われますが、企業も同じです。脅威についてあまり考えずにいた結果インシデント(事故)を起こし、その時に初めて怖さに気付くという場合がほとんどだと思います。1995年の阪神・淡路大震災の直後、サーバーを自社内に置いているとリスクが高いという理解が広がり、データセンターでサーバーをお預かりする業務が急進するということがありました。この例ひとつをとっても、何事も前もって行うというのは大変難しいことだと言えますが、それでも経営者は、自社にとって何をどこまですることが本当に必要かを常に考えていなければなりません。」
-具体的にどのような対策から実施すべきでしょうか。
「自社にどういう情報資産があって、それがどこに置かれているのかを把握することです。その上で発生し得るリスクを認識し、適切な対策を講じる必要があります。具体的には、Should(するべきこと)と、Should Not(してはいけないこと)がどこまで徹底されているかをチェックしなければなりません。最近では、やってはいけないことが急速に増えて、いわば「べからず集」がどんどん厚くなっています。そうした状況ですので、社員の情報セキュリティの理解度を測るテストを実施したり、標的型攻撃#1を模擬したメールを出して訓練を行ったり、日々の絶え間ない努力が不可欠だと思います。」
-経営者は情報システム部門といかに接するべきでしょうか。
「とにかく怒ったらダメですね。セキュリティに100点はありません。95点まで対策が出来ていて、それでも破られたのなら叱っても仕方ありません。むしろ、破られたときの早期発見、初期対応がおろそかにならないことの方が大事です。その場合、経営者は少なくとも自社がどこまで対策を行っていたかを説明しなければならないので、日頃から情報システム部門の話を真摯に聞いて、経営者自身が自分なりに理解している必要があります。情報システム部門で対策できることには限界があることを認めて、対策できない領域は保険でカバーするなど、最後は経営者が判断していかなければなりません。」
#1 標的型攻撃とは、特定の組織や人から機密情報を窃取するサイバー攻撃のことです。
近畿経済産業局 地域経済部 次世代産業・情報政策課
住所:〒540-8535 大阪市中央区大手前1-5-44
電話番号:06-6966-6008
FAX番号:06-6966-6097