IT情報セキュリティ

耐性力のある強い企業へ

「うちは大丈夫か……」。サイバー攻撃に遭った企業のニュースを聞いてから慌てていたのでは遅すぎる。こうした事故が経営にどんなインパクトを与えるのか、「事前にかなりのことが決まってしまっている」と語るのは一橋大学大学院商学研究科特任教授の伊藤邦雄氏だ。危機に強い企業は何が違うのか。「3S」が重要と話す伊藤氏に詳細を聞いた。

危機に高い耐性力を発揮「PDCA+3S」とは

一橋大学大学院商学研究科特認教授
一橋大学CFO教育研究センター長
伊藤邦雄
 
2006年より現職。研究分野は会計から企業システム、企業行動分析、コーポレート・ガバナンスまで多岐にわたる。中央省庁の各種委員を歴任するほか三菱商事、セブン&アイ・ホールディングス、東レなどの社外取締役も務める

大規模な情報漏洩のほか、企業のサイトへの不正な侵入などの事件・事故が頻発しています。これらのITセキュリティリスクに対応するにはどのような取り組みが必要でしょうか。


伊藤 ITセキュリティリスクも年々多様化しています。たとえば、特定の企業を狙って情報の窃取などを行う攻撃では、かつては業務メールに見せかけて添付ファイルを開かせたり特定のサイトに誘導させたりする「標的型攻撃メール」が主流でした。ところが最近では、水飲み場に集まる獲物を肉食獣が待ち伏せするように、特定の企業やユーザーがよく利用するサイトにウイルスを埋め込む「水飲み場型攻撃」も増えています。

このような非常に手の込んだ手法に対応するには、「セキュリティのPDCAを回す」といった平時の行動に加え、危機のときに高い耐性力を発揮できる行動原理が求められます。私はこれを「PDCA+3S」と表現しています。「3S」とは、危機が訪れるタイミングや大きさを事前に(あるいは事後速やかに)察知する「感知力(Sensor)」、PDCAサイクルを素早く回す「高速回(Speed)」、健全な危機意識を社内に醸成する「危機意識(Sense of urgency)」を表しています。企業の事例を見ると、高い危機耐性力を持つ企業はいずれもこの「3S」を有していることがわかります。


「危機耐性力」と言うと、IT部門だけでは対応できないように思います。


伊藤 経営者を含む全社員が危機意識を持つことが重要です。特に経営者は、いち早く危機を察知して社員に知らしめなければなりません。ひとたび事件や事故が起きると、経営に大きなインパクトを与えるだけに、ITセキュリティリスクは経営リスクそのものと言えます。

欧米の企業経営者は敏感で、ITに詳しい人も多いのですが、日本企業の経営者は、依然としてITに関する知識が乏しく、関心も低いようです。「ITはなぜこんなに金がかかるのか」と、「コスト」としてとらえている経営者も少なくありません。

このような経営者は、ITセキュリティリスクへの対応を「守りのIT」と考えがちですが、ITを活用して利益を生む攻めの経営に目を向けてほしいところです。ある大手建機メーカーでは、建設機械に組み込んだ情報通信システムを活用して機械の稼働率を読み取り、需要の先行きを予測するとともに、中国など海外の工場の操業を調整しています。ITを活用し、危機耐性力を鋭敏にしている好例です。

一方、政府も、経営者の「攻めのIT経営」への意識改革を進めようとしています。昨年12月には経済産業省と東京証券取引所が共同で、経営革新や競争力の強化のためにITの積極的な活用に取り組んでいる企業を「攻めのIT経営銘柄」として選定する制度が始まりました。この5月には、選定された企業が公表される予定です。

次ページITセキュリティリスクもステークホルダーと対話を