「情報システムの作り方は激変している。企業は現場の社員を中心に,新しい時代に合ったセキュリティ基盤を作っていかねばならない」。4月26日,2日目を迎えた「RSA CONFERENCE JAPAN 2007」の最初の基調講演で,奈良先端科学技術大学院大学の山口英教授はこのように語った。
宅配業者の配送トラックから,航空会社のチェックインカウンターに至るまで,ビジネスの現場の隅々にまでシステムが入り込んでいる。情報システムは本業のビジネス・ノウハウそのものになっており,セキュリティの問題はもはや一部の専門家が解決できるものではなくなっている。
「経営者や現場で働く社員,さらに取引先や地域社会に至るまで,ステークホルダー(利害関係者)が一体となって,情報セキュリティをどうするかについて真剣に考え,合意形成を行っていくプロセスが必要」と山口教授は強調する。この合意形成=目標(ゴール)が設定できてはじめて,情報システムの基盤化が動き出すと言うのである。
基盤化に必要なのは,技術,コンプライアンス,そしてマネジメント。技術とコンプライアンスとの間のバランスを取り,合理性を確保するという作業がマネジメントだ。山口教授は通常のマネジメント・システムのサイクルに,セキュリティ対策を組み込むことがポイントであると主張する。
「情報セキュリティ対策と言えば,緊急時の対応が重要のように思われているが,それだけではない。危機に瀕した時に人間は普段やっていることしかできない,普段やっていないことは絶対に緊急時にはできないことが証明されている」と山口教授は説明し,普段からの取り組みの重要性を強調する。
具体的には,合意形成をもとに情報セキュリティ戦略を策定し(Strategy),通常のビジネスプロセスの中に対策を組み込み(Process),研修や訓練を実施し(Training),リスク評価を行う(Assessment)。このサイクルを継続することによって,堅牢な情報セキュリティ基盤が構築されるという。
ただし,「情報セキュリティの基盤化を進める中で,現場が混乱する場面をいくつも見てきた」という。よくあるのは,指揮系統の混乱。かつて情報セキュリティに関しては,システム部門を頂点とする指揮系統が出来上がっていた。それが現場のマネジャーが指揮を取る体制に移行する中で衝突が起きている。
「情報システム開発の主役は,企業のシステム部門とシステム・インテグレーターから,本業を担う現場担当者へと移行しつつある。これと同時に,セキュリティ・マネジメントに関しても現場への権限委譲を図っていく必要がある」と山口教授。指揮系統を明確にし,資源の管理責任の所在を明らかにするなどのマネジメント上の課題が,セキュリティ対策を進める上でカギとなる。
