アスキービジネスは、6月8日、東京・新宿で、「アスキービジネスセミナー 企業リスクとIT統制~会社法、JSOX、ISMS、BCMが求めているもの~」(協賛:インテル株式会社)を開催した。IT統制に対して、企業がどのように取り組むべきか――。その解を求めて、会場には大勢の企業経営者やIT担当者らが駆けつけた。
ITの欠陥をカバーするために必要なITのガバナンス
第1部は、東京電機大学未来科学部情報メディア学科教授の安田 浩氏が基調講演を行なった。
東京電機大学未来科学部情報メディア学科教授の安田 浩氏
「もはやインターネットを利用しないわけにはいかない。だが、そもそもの構造からしてインターネットとセキュリティは相容れないもの。ではどうしたらいいのかということで、ITのガバナンスを考える必要がある」。安田氏はこのように切り出し、IT統制が求められる背景について語った。
昨今では、さまざまな企業や行政機関で次々と不祥事が発生、明らかになっている。特に顕著なのは社会保険庁の事例、いわゆる年金未記録漏れ問題だ。従来、ITは「導入するとよくなるもの」といわれてきたが、相次ぐ不祥事によって「ITによって大変なことになってしまう」という面が強調されてきているという。
一方、ブロードバンドの普及と併せて、国内では1999年からiモードに代表されるモバイルインターネットが登場。2003年からは地上デジタル放送も始まり、「無線と有線と放送の『三位一体のブロードバンド・ユビキタスインフラ』が完成した」と安田氏は話す。
「すべてがデジタルネットワークに置き換わることで、同じコンテンツがどのネットワークでもそのまま流れるという基盤を手にした」(安田氏)。これによって、従来型のテレビのように一方的に流れてくる情報を得るのではなく、「自身が検索エンジンを使って欲しい情報を確実に得る“情報大爆発”時代になった」という。そこでは、誰もが「情報を見に来る」という前提に立つ必要があるといい、情報セキュリティの整備こそが重要になる――というのが氏の主張だ。
不完全なPDCAサイクル、“Check”と“Action”が重要に
安田氏はこのあと、いくつかの具体例を交えて情報セキュリティの問題と対策方法について解説した。
まず指摘したのは、利便性とプライバシーの問題だ。昨今では、SuicaやETCといった非接触型の媒体を使ったITシステムが整えられている。こうしたシステム自体は我々の生活の利便性を高めるものとして広く普及しているものだが、技術的には第三者が外部からデータを収集することが可能だという。
もちろん、「データが暗号化されているため、暗号が解けないことが安全の担保になっている」(安田氏)とはいうものの、暗号が絶対に解読されないという保証はない。また、カードを発行する企業の囲い込み戦略によって、個人の行動が把握されてしまうのではないかという「ネットワーク検閲社会」への不安もある。
ITが依存するインターネットというインフラそのものにも問題がある。音声とアドレス(番号)が分離していた電話型のネットワークと違い、インターネットはデータとアドレスが一体化している。端末IDが認証されておらず、端末を使う個人も特定されていない。セキュリティを確保するのが難しいのがインターネットの構造上の問題となっている。
安田氏はこうした問題について、「ITは常に利便性、ITを使って便利にしようということを優先して考えてきた」と話す。そのため、「ITに関しては、これまでPDCA(Plan Do Check Action)サイクルが不完全だった。“C”(Check)と“A”(Action)がほとんどなされていないといっていい」(同氏)。なりすましを防ぐための本人認証の仕組みといった技術的な面も、実際に計画どおりにシステムが動作しているかといった人的な面も、どちらにしても、チェックが追いついていないのが現状の問題だという。
その上で、問題に対する具体的な対策として、暗号化技術やオープンソースソフトの活用、デジタルフォレンジック(コンピュータなどに対する科学捜査の手法)の完全化、より簡単に利用できる個人認証システムの整備などを紹介。加えて、根本的な問題の解決には、情報セキュリティへの意欲向上のための国家的な取り組みや、教育制度の充実が必要だとした。
「ITを導入するときには、ITにも欠陥があることを認識し、(PDCAサイクルの)チェックとアクションをしっかり行なうこと。そのことが、IT以外も含めたリスクへ簡単に対応できるようになり、すべての統制につながることがようやく明らかになってきた。そうした視点を持てれば、統制という問題は解決するのではないか」。安田氏は講演をこう締めくくった。
