イベント・ニュース

デロイトトーマツ × MOTEX トップ対談

mainvis

デロイトトーマツリスクサービス株式会社 丸山 満彦氏
有限責任監査法人トーマツに入社後、会計監査業務、米国赴任を経て、個人情報保護関連の監査及びコンサルティングに従事。経済産業省・厚生労働省などで数々の委員を歴任。2012年3月末まで内閣官房情報セキュリティセンターにて指導官を兼務。2014年よりデロイト トーマツ サイバーセキュリティ先端研究所所長を兼務。日本の情報セキュリティの第一人者としてご活躍。

エムオーテックス株式会社 河之口 達也
京セラに入社後、ICT事業に携わり、2005年からはシンガポールでデジタルコンテンツ配信事業などの新規事業に従事。帰国後、2012年よりエムオーテックス株式会社代表取締役社長に就任。海外展開など様々な取り組みを推進する傍ら、新経済連盟の幹事として、情報セキュリティTFを通じて日本政府への提言などに従事。

個人情報保護法や不正競争防止法などの法改正、また来年1月からスタートするマイナンバー制度、と「情報」に関する法整備が進む一方、未だ相次ぐ情報漏えい事故。Special対談の記念すべき第1回目は、大阪出身で同年代の丸山社長と河之口。それぞれ立場は違うが“セキュリティ”に関わるこの2人に、「企業を取り巻く環境が大きく変化する中での“セキュリティ”」について語っていただいた。

マイナンバー制度開始で企業のセキュリティは変わるのか。

sp01_img1

河之口:マイナンバー制度施行を前に、今年起きた日本年金機構の情報漏えい事故。いろんな意味で危機感を感じます。またこれまでの個人情報保護法や不正競争防止法の対象は企業でしたが、マイナンバー制度は個人にも罰則が課せられるようになるのは大きな違いですね。

丸山:マイナンバーは氏名と同じようなものなので、マイナンバー自体が漏れることはさほど問題ではありませんが、様々な情報と結びついた際、名寄せされるキーとなることは間違いありません。

マイナンバーは会社のコンプライアンス体制を作るだけでは守りきれない、だから抑止効果の為にマイナンバーを洩らした個人に罰則があるのが特徴です。一方、企業としては従業員や場合によっては取引先から大量のマイナンバーを入手することになります。でも、積極的に対策を行おうとしている企業はまだ少ないのが心配ですね。


業務を推進するために必須であれば何も言われなくても対応されるでしょうけど、今回の場合は、あまり関係はないけれど法律で決まったから対応しなければ・・・というかんじでしょうか。他社の動向をうかがっている企業も多いと思います。

御社はマイナンバーの影響で引き合いが増えているんじゃないですか?

河之口:いや、マイナンバー要件という意味ではまだまだです。現段階では、マイナンバーをきっかけにというよりは、ベネッセや日本年金機構の情報漏えい事故のほうがインパクトは大きいですね。

いろんな方と話していますが、経営者も従業員の方も「マイナンバーについては正直まだ実態がわからない」という方のほうが圧倒的に多いように思います。

丸山:たしかにそうでうすね。大企業ではコンプライアンスは経営の重要な課題となっているので、積極的に取り組んでいるところも多いですが、中小企業では必要性は感じていても、目の前の課題が山積みで・・というのが現状の会社も多いと思います。

河之口:対応しようとしているお客様の中でも全体で対応するというよりも、まずはアクセス端末の部分的対処を検討されているほうが多いですね。

丸山:我々もコンサルをする時「マイナンバーを取り扱う方を限定してください」と伝えています。収集する時と提出する時以外は、通常業務でマイナンバーは必要ないので、まずはアクセス権の限定と保管の部分をしっかり行うことが大切です。

河之口:1つのトピックにはなっていますが、マイナンバーはこれからだと思います。今は外部・内部含めた「情報漏えい」のほうがやはりお客様の課題・関心が強いです。やはり事件が後を絶たないですからね・・・

丸山:個人情報保護法は5000人以下の情報を持っていないところは対象外でしたが、マイナンバーはNPOなども含めてすべての組織が対象となります。これを機にセキュリティに意識を向ける企業が増えることは間違いないでしょう。

情報漏えいはなくならない。

sp01_img2

丸山:情報漏えいの原因は様々ですが、最近のサイバー攻撃などを100%防ぐことは不可能ですね。だから全部守りきれないということを前提に、ちゃんとログをとって、外部から入られていないか、万が一何かあった場合には遡って確認できる体制が重要だと思います。予防はもちろんしたうえで、防ぎきれないことを前提に入られた後の対策をセットでやること。

河之口:そうですね。何が起こったかわからないとそのあとの対策につなげられない。いつまでも同じことを繰り返してしまいます。だから、弊社はずっと“ログ”を中心としたツールを作り続けています。

丸山:標的型攻撃に対する外部対策と、従業員の不正対策といった内部対策は全く別ものに見えていますが、実は外部対策をすると、内部不正対策も一緒にできてしまうんです。外部の人が内部の人になりすますわけですから。そういう意味では、内部不正対策も標的型攻撃対策も入られてしまった後はそんなに大きくは変わらない。


河之口:最近、我々のようなツールは転換期に来ていると感じます。「ツールでは防ぎきれない」というのは、もはや世界共通で認識されています。だからこそ、ツールとして未知の脅威をどう発見し対策していくかと同時に、我々のような情報(ログ)の重要性が上がってきています。

そして、ツールを入れていても、見ていない・運用できていなければ意味がない、という“運用”の部分。これは我々ツールベンダーに課せらせた課題であると認識していますが、ツールの意義は確実に次のステージに変質していっています。

丸山:今までであればウイルス対策ソフトのように「入れたら終わり」でよかったのですが、今はログの中からアラートがあがってきて、その中身を見て判断しなければいけない。どういうアラートを上げる設定にするか、またアラートが上がったあとオペレーションをどうするかの判断が必要なので、アラートを見た人が、「これは危険だ」とエスカレーションできなければ、意味がない。

またオペレーションの中でちゃんとチューニングしていくという運用を意識しないとツールも使いきれないでしょう。

経営者の意識。

sp01_img3

河之口:お客様と話していると、「経営者の意識」「セキュリティへのお金のかけ方」がポイントだと感じます。「なんでファイヤーウォール1つにこんな高いお金を払う必要があるんだ」というお客様もいれば、トップダウンでセキュリティに取り組んでいるお客様もいる。

一般的な経営者にとってセキュリティはわからないもの。リスクに対してお金を払うということがなかなか理解できないというのが根本にあるのではないでしょうか。「リスクに対するコスト」、経営者はこれをもっと意識するべきです。

丸山:事故が起こるとガラッとかわるんですけどね。事故が起こるまで「ここまでやってもなにも起こらないかも。だからやらなくていい」と考えている経営者は多いと思います。でもいざ事故が起こると慌てて「できること全部やれ」と極端になる。本当は全部をやる必要はないんですけどね。


だからそうならないためにも、最低限だとここまで、最大限にやるとここまでという両極端をみて「うちはまずはここまでやろう」という風に決めていく必要がありますね。そこに経営者も積極的に関わっていかないといけない。

もしかするといずれ事件が起こるかもしれない。だけど、起きた後にきちんと説明できればそのあとの影響も変わってきます。だから「きちんと説明できるところまでやろう」という意識も大事ですね。

河之口:前提として「性悪説と性善説」の話がありますよね。日本人は「性善説」で物事を考えがちですが、セキュリティ対策においては間違いや事故が起こらないような環境を作るために「性悪説」にたって考えるロジックも必要だと思います。

リスクをあおっているという風に聞こえるかもしれませんが・・・でも今の世の中「性善説が・・」と言っている場合ではありません。だから、我々はツールを販売すると同時にこのことを言い続けないといけない思っていますし、同時に我々経営者はそれらを理解しようと努力しなければいけないと思います。

トップガンと司令官。

sp01_img5

丸山:「経営者の意識」、これは人材育成の話にもなりますね。最近政府の方との間でよく話題になるのが「トップガンの育成」ですが、それだけでは足りないと思っています。

現場だけだと「これもあれもやらないと」と優先度がわからなくなる。一方経営者は現場から話を聞いても「ITの用語ばかりでよくわからん」と効果がわからない。

ここに大きなギャップがあります。本当はこのギャップを取り持つ人、つまりちゃんと全体の設計をし、判断ができる「司令官」が必要だと思います。

※「トップガン」とは、セキュリティ分野における最も優秀な技術専門家


河之口:これは日本特有の課題のように感じます。海外の大手企業ではCISO(最高情報セキュリティ責任者)を置くのは当たり前ですが、日本は大企業でもそれらを置いているところは少ないですね。

丸山:そうですね。海外は責任がはっきりしています。これは職に対する考え方が大きく日本と違うからだと思います。日本は同じ会社の中で役職が上がりながら職が変わっていく。

一方海外は、会社は変わるが職は変わらない。だからセキュリティをやっている人は自分のキャリアやスキルにあった職を求めて転職をしながらキャリアを積んで、最終的にどこかの会社のCISOになる。つまり、自然と「司令官」ができる仕組み、また「トップガン」が生まれる仕組みになっています。

河之口:日本は属人化した組織になりがちですよね。

丸山:海外は転職というか正確には転社が当たり前なので、資格を取るモチベーションも高いし、結果もついてくる。日本は、安い給料で優秀な人を雇ってますよね。でもそれって「人材育成」という面ではすごくナンセンスだと思います。

優秀な人が生まれるように活躍できる場を与えることが重要です。トップガンを育てるよりも司令官を育てる。天才(トップガン)は育てられませんから。トップガンがいることを前提に戦略をたてるということはない。企業経営も同じで天才がいることを前提に経営なんてできません。我々経営者はこのあたりももっと意識を変えていかないといけないですね。

東京オリンピックを見据えて。
変わるチャンス、変えられるチャンス

sp01_img4

丸山:最近政府を含め日本の意識が変わってきていると感じます。これは、2020年の東京オリンピックの影響は大きいでしょう。

政府全体の人事制度に関わる部分を変えるというのはなかなか難しいでしょうが、企業は違います。変えようと思ったら変えられます。意識を変え、外からの人材投与、またセキュリティ投資も含め企業の予算としてビジネスを考えていかないといけないと思います。会社の玄関は大理石だけど中は・・・というように、どこにお金をかけるか。バランスですよね。

河之口:政府はなかなか変わらないかもしれませんが、企業がモデルケースとなりCISOなどをおいて、このように効果がでているということを実践して、それを浸透させていく必要がありますね。長い時間はかかると思いますが、ひとつのきっかけになるのが東京オリンピックや昨今の事故ですよね。この5年、大きく変われるチャンスだと感じます。


最後に・・・「セキュリティ」とは

sp01_img6

丸山:世の中変わっていくけど、ITがある限り「セキュリティ」は絶対なくならないでしょう。これからはビジネスをやるうえで「セキュリティ」をセットで考えていかないと、絶対成功しないと思います。だから、経営者も「セキュリティ」に積極的に関わっていってほしいですね。もはや経営者も「セキュリティはわからない」ではすまされない時代になってますから。


河之口:今やセキュリティはツールを入れるだけでどうにかなるものではない。またセキュリティの本質は“人”だと考えています。我々はツールを売りながら、どうしても防ぎきれないことと向き合っています。だから、ツールベンダーとして防ぎきれないということを前提に、ツール以外のことも発信していくことが使命だと感じています。

昨年から「NOMORE情報漏えいプロジェクト」という活動を始め、企業だけでなく一般消費者に向けて「情報漏えいの“自分ごと化”」というメッセージを発信しています。今後もこのような活動は強化していきたいと思います。

丸山:それはよい取り組みですね。期待しています。

河之口:丸山さん、本日はありがとうございました。

デロイト トーマツ リスクサービス株式会社
グローバルで活躍する企業や組織へのITリスクに関するコンサルティングサービスを提供。日本におけるデロイト トーマツ グループの総合力と150以上の国・地域に広がるデロイトのネットワークを活かして「サイバーセキュリティ」「インシデント対応」「ERPセキュリティと内部統制」「ソフトウェア資産管理」「事業継続管理」「ITガバナンス」に関してのリスク管理活動を支援

企業URL:http://www.deloitte.com/jp/dtrs