［国内］【SANS Future Vision 2007 in Tokyoリポート】
「今日の企業に求められているのは“信頼資産”の形成」――NRI村上会長が今後の情報セキュリティを語る

進化した情報システム環境の中で企業が進めるべき取り組みを提言

（2007年07月17日）

　7月17日と18日の2日間、情報セキュリティに関する米国の研究機関、SANS Instituteが主催するコンファレンス「SANS Future Vision 2007 in Tokyo」が、シェラトン都ホテル東京（東京都港区）で行われている。SANS Instituteは政府や企業・団体における情報セキュリティ教育を目的として設立された組織で、現在は米国の公共政策の支援、情報セキュリティ関連の調査研究、セキュリティ関連技術や運用に関するトレーニングの3つを主な事業としている。

企業価値を高めるために「信頼資産」の形成を

　同コンファレンス最初のキーノート・セッションでは、野村総合研究所の理事長である村上輝康氏が登壇、「信頼資産形成と情報セキュリティ」というタイトルの講演を行った。組織の情報セキュリティへの取り組みを全体的で自発的なものとするために重要なことは何かというテーマを扱った同セッションでは、まず、日本の企業における情報システムの変遷が紹介された。

野村総合研究所理事長村上輝康氏

　野村證券と証券取引所が「UNIVAC120」を導入した1955年以降、しばらくは企業コンピューティングの主流プラットフォームとしてメインフレームが活躍したが、1980年代後半にクライアント／サーバ・システム時代、1990年代にはWebコンピューティング時代と変遷を遂げていった。その後、ITバブルの崩壊を経てブロードバンド時代に突入したのに続き、ユビキタスの時代が到来した。また、これと同時期に、Web 2.0という新たなパラダイムが生まれた。

　このような情報システムの変遷にともなってセキュリティ問題も大きく変化したと村上氏は指摘する。「ネットワーク上の脅威は多様化し、拡散の瞬時性、状況把握の困難性も上昇している。ビジネスにおける情報システムへの依存度も増加し、セキュリティ上のリスクが直接企業に大きな影響を与えるようになってきた」（同氏）

　そうした時代の中で競争力を強化するために行うべき取り組みとして、どの企業にでも共通して当てはまることは、「高効率経営」と「顧客価値の創造」の実現だと村上氏は強調する。高効率経営は、資源の共有化や全体最適のIT活用、業務プロセス改善などによるオペレーションの効率向上や、事業の選択や集中などによる経営の効率向上によって実現する。

　一方、顧客価値創造のための要点は、顧客との接点を広くそして厚くしていくことで“信頼資産”を形成していくことだという。そのためには「個人情報保護体制や情報セキュリティガバナンス、内部統制システム、コンプライアンス体制、コーポレート・ガバナンス、そして社会的責任経営（CSR）体制を作り上げていくことが重要だ」と、村上氏は指摘する。

　これらのうち、最も重要な基盤となるのが個人情報保護をはじめとしたセキュリティ対策だ。“割れ窓”のないセキュリティ対策を実施するために組織の面からどのようなサポートを行っていくかということが、情報システムの信頼性向上のための重要なポイントとなる。

　信頼資産の形成のためにもう1つ留意すべき点として、村上氏は、発生した問題に対して誠実に対応するということを挙げた。ここで重視される“誠実”とは、例えば、情報漏洩が発生した場合に隠さず通知し、経緯や調査結果を細かく報告・開示することだいう。同氏は、この対応次第で情報漏洩後の売上に4割もの差が出ると語った。

　最後に村上氏は、これからの企業は「信頼性のガバナンス」を目指すべきだという提言を示した。従来は、株主が企業を監視するという「監視のガバナンス」が成り立っており、日本ではもう1つ、企業がマーケットと向き合ってマーケットの信頼性を勝ち取る「自発性のガバナンス」が重視されてきた面もあるという。それが近年では、監視と自発性の両立が重要になっていると同氏は指摘したうえで、「外面を取り繕うことではなく、情報セキュリティ対策や内部統制によって信頼資産を確保することで企業統治を行うという考え方が重要」であると締めくくった。

展示会でも目立った内部統制関連製品／サービス

SANS Future Vision 2007 in Tokyoの展示会場

　SANS Future Vision 2007 in Tokyoにおいては、スポンサー企業による展示会が併催された。今回の展示会からも、内部統制や個人情報保護といった分野への注目度の高さが見て取れた。キーノート・セッションで村上氏が指摘した通り、これらは企業の信頼を確保するための基盤となるものであり、多くのベンダーがさまざまな製品／サービスを提供している。

　例えば、NRIセキュアテクノロジーズ株式会社では、アクセス制御・監視ツール「Access Check」や、電子メールやクライアントPCの監視ツール「Mail Check/PC Check」、セキュアファイル交換サービス「クリプト便」といった内部統制／コンプライアンス関連の製品／サービスの紹介を行っていた。

　シマンテックは、「セキュリティベースライン作成サービス」などの紹介を行っていた。これは、企業の実態に合ったセキュリティ・ベース・ラインを作成し、それを適切なポリシーで管理することを支援するサービスだ。その他、セキュリティや運用に関連した各種教育サービスも行っているという。

　また、日立システムアンドサービスのブースでは、アクセスコントロールやUTM（統合型脅威管理）アプライアンス、検疫ネットワークなどに対応する「Juniper Networks」の展示が行われていた。総合的なセキュリティ対策を低コストで行うことができるUTMへの注目度は高いようだ。

(杉山貴章)