日本年金機構の大規模な情報漏洩をはじめ、2015年もセキュリティの事故が相次いだ。企業の経営層はどう構えればいいのか。監査法人として経営層と接する機会の多いトーマツグループで、ITリスクに関するコンサルティングサービスを手掛けるデロイト トーマツ リスクサービスの丸山社長に聞いた。

2015年は日本年金機構の大規模な情報漏洩など、社会を揺るがす大きな事件があった。経営層の意識は変わったか。

丸山 満彦 Mitsuhiko Maruyama
有限責任監査法人トーマツに入社後、会計監査に従事。1998年より2000年まで米デロイトのデトロイト事務所に勤務。製造業グループほか米国企業のシステム監査を実施。帰国後、 リスクマネジメント、コンプライアンス、情報セキュリティ、個人情報保護関連の監査およびコンサルティングに従事。経済産業省の情報セキュリティ監査研究会、情報セキュリティ総合戦略策定委員会、個人情報保護法ガイドライン策定委員会ほか、国土交通省、厚生労働省の情報セキュリティ関連の委員会などの委員、日本情報処理開発協会ISMS技術専門部会などの委員を歴任。2012年3月末まで内閣官房情報セキュリティセンター情報セキュリティ指導官を兼務。現在はデロイト トーマツ リスクサービス 代表取締役社長。デロイト トーマツ サイバーセキュリティ先端研究所 所長を兼務。趣味は音楽鑑賞、絵画鑑賞。

 経営層の目線は確実に変わってきた。以前は情報漏洩事件があっても「うちは関係ない。狙われるような情報はない」という認識だったが、最近は「どんな会社でも起こり得る。うちは大丈夫か。対策はどうなっている?」と経営層が不安視するようになった。情報漏洩は経営にとって無視できない大きなインパクトがあると認識され始めている。

意識が変わったことで、具体的な取り組みは出てきたか。

 体制を構築済みの大企業はより力を入れて、対策を完遂するようになってきた。業種で言えば、製造業に動きがある。グローバル化を進める過程で、国ごとに別々だったネットワークやITシステムがつながり、どこから侵入されたか、分かりにくくなる。グローバルなセキュリティ対策が必須だという意識が高まってきた。

中堅・中小企業の意識や対策はどうか。

 我々は中堅・中小企業とつきあいがそれほど多いわけではないが、ツールを導入してセキュリティ対策を始めてみようという動きが見られる。ただ全体としては、セキュリティの予算を確保できないのが現状だ。

 中堅・中小企業はこれから自前のIT資産を持たずクラウドに移行していくだろう。とはいえ、クラウドに置きにくいシステムが残ることもある。このシステムとクラウドをどう連携させて、セキュリティを担保するかが課題になる。これは中小企業に限った話ではない。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら