今年7月に起きたベネッセ・ホールディングスの個人情報漏洩事件は記憶に新しい。慌てて「自分の会社は大丈夫か」と、自社内のチェックを命じた経営者も多いだろう。

 情報漏洩事件は、10数年前から繰り返し起きていた。そのたびに情報管理の不備が指摘されてきたが、事故は起こり続けている。情報漏洩はいつまで繰り返されるのだろうか。

 今回は、日本を代表するセキュリティの専門家の1人である、セキュリティ専門会社ラックの西本逸郎取締役CTOに、企業のセキュリティ対策の考え方について話を聞いた。西本氏は、「コスト削減目的のIT活用ならアリバイのセキュリティ対策でもよかったが、データの活用を考えているなら、根本的に考え方を改めないと破綻する」と警鐘を鳴らす。

(聞き手は小野口哲)

情報漏洩は、以前から何度も繰り返されてきました。「またか」と思った人も多いでしょう。今後も同様のことが繰り返されるのでしょうか。

西本逸郎(にしもと・いつろう)氏
西本逸郎(にしもと・いつろう)氏
ラック取締役CTO。日本を代表するセキュリティの専門家の1人。プログラマーとして数多くの情報通信技術システムの開発や企画を担当し、2000年以降、サイバーセキュリティ分野での研究や対策に取り組む。日本スマートフォンセキュリティ協会の理事、事務局長を務めるなど、セキュリティ関連の活動に積極的に取り組む。ベネッセの情報漏洩事件を受け、同社が外部専門家をトップとする「事故調査委員会」を設立したが、西本氏はメンバーとして参画している。著書に、『国・企業・メディアが決して語らない サイバー戦争の真実』(中経出版)。

西本:一般的に、情報システムとかITと言うと、自分には関係ないと考える方が多いのが現状です。日経ビジネスオンラインの読者も、自分はシステム担当者ではないからという方が多いのではないでしょうか。

うーん、そうかもしれませんね。

西本:車を例に考えてみると、ブレーキがあって、アクセルがあって、ハンドルがあって、エンジンがあって、ガソリンを入れなきゃ走らない、ということは誰もが知っています。同じように、情報システムにも原理原則があるのです。それを大きく分けると「機能(=ファンクション)」と「データ」に集約されます。

 例えば、交通費の精算システムがあるとします。それは機能です。何でそのようなシステムが要るかというと、合理化したいわけです。コスト削減したいわけです。いちいち伝票を書いていたらみんな大変ですから。20世紀の情報システムというのは、基本的にそういう“機能”を提供したことで発展してきたのです。機能中心なのです。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。