特集

ITガバナンス強化による サイバーセキュリティ対策

皆さまは、情報セキュリティ対策についてどういう印象をお持ちでしょうか?
例えば、業務の現場では「情報システムが使いづらくなり、操作手順が増えている」「情報システムの利用につい て、やたらと申請書類の起票が増えている」……というようなことが起きていたりはしないでしょうか?
さらには、それらの延長線上で「会社に無許可の私物パソコンやスマートフォン(会社許可のBYOD等を除く)を利用している」「会社の業務上の書類を会社無許可で私的メールアドレスへ添付ファイルとして送信している」……というようなことも行われていないでしょうか?
上記のようなことは、ご自身は該当しなくても、周囲では「ちらほらと耳や目にしているなぁ」「思い当たる節があるなぁ」などということがあるのではないでしょうか?
ここでは、どうしてこのような状態になってしまうのかを考えていきましょう。

根本 直樹

内閣官房 政府CIO補佐官(併任:宮内庁CIO補佐官、厚生労働省CIO補佐官)

<略歴>
○2000年 電気通信大学大学院電気通信学研究科電子工学専攻博士前期課程修了。
○2000年4月~2002年10月末までAgilent Technologiesに勤務し、計測コンサルティング(主に通信分野)に従事。以降、民間システム構築会社にて経営企画に従事しながらインターネット協会の企画運営会議メンバー、電子情報通信学会医療情報通信技術時限研究会(現:ヘルスケア・医療情報通信技術研究専門委員会(MICT))専門委員などを務める。
○2012年4月より宮内庁CIO補佐官兼最高情報セキュリティアドバイザー、2013年4月より現職、2014年4月より厚生労働省CIO補佐官(労働行政担当)に併任。
○2015年2月より情報処理推進機構(IPA)情報処理技術者試験委員を務める。

やみくもな情報セキュリティ強化は
シャドーITの助長に

IT化は何のため?

本題に入る前に、少し自己紹介をさせていただくとともに、情報セキュリティ対策が必要となるIT活用の背景などについて触れたいと思います。

私は、もともとは民間企業の経営企画部門に属していましたが、民間企業を辞して以来、現在まで内閣官房政府CIO補佐官という役職にあり、内閣官房情報通信技術(IT)総合戦略室(室長:内閣情報通信政策監)に身を置いています。IT総合戦略室は、平成12年8月7日に内閣官房に設置された組織であり、高度情報通信ネットワーク社会推進戦略本部の事務局の役割を果たすとともに、ITの活用による国民の利便性の向上および行政運営の改善に係る総合調整、IT戦略の立案・推進やITガバナンスの強化などを行っています。

ここで重要なのは、「ITの活用による国民の利便性の向上および行政運営の改善」という部分になります。民間企業であれば、「ITの活用による従業員又は顧客の利便性の向上および会社や業務、顧客向けサービスなどの運営の改善」という言葉に置き換えることができるかと思います。言わずもがな、ITの利用は企業における収益性向上に不可欠であるという背景があります。

特に日本では、平成24年就業構造基本調査(総務省統計局)【参考1】によると、世帯主が75歳以上の無業の世帯が、平成19年と比べると183万2千世帯増加しており、世帯主が有業である世帯が減ってきています図1。また、国立社会保障・人口問題研究所の分析による推計人口【参考2】からは、全人口だけでなく、働き盛りの年齢層が減少するということは、よく知られているのではないでしょうか。これらに伴い、将来における日本国内での労働生産力、国内消費などの動向が危惧されているところです。こういった統計上の事実とそれに基づく推計や、将来の環境変化などを背景とし、企業においてはこれまでの収益を保てるのか、株主などのステークホルダーの期待に応えられるのかなどといった課題が顕在化しつつあり、その課題解決の一つとしてITの活用が位置づけられていると考えられます。

図1世帯主が有業の世帯の割合の推移

出典:平成24年就業構造基本調査(総務省統計局)

少ない人数で、今までの収益を保つというのはかなりのチャレンジとなります。これを打破するための道具の一つがITとなってほしいところです。しかしながら、中小企業白書(2016年版 中小企業庁事業環境部調査室)【参考3】によると、日本国内の中小企業の数は380.9万社(全体の99.7%を占め、その内、中規模企業の数は約55.7万社、小規模事業者の数は約325.2万社)ですが、図2のとおり中小企業では、人材不足や効果がわからないことなどを背景にIT投資が進んでいないことがわかりました。また、高収益企業においては、IT投資により、営業力強化や売り上げ拡大等の効果を得ていることもわかりました。

図2IT投資未実施企業のIT投資を行わない理由

出典:中小企業庁委託「中小企業の成長と投資行動に関するアンケート調査」
(2015年12月、(株)帝国データバンク)

図3からは、中小企業において、今後IT投資を行う上での課題として「情報セキュリティ等のリスク対応が必要」がもっとも高くなっていることがわかります。図4の「企業規模別に見た事業の継続が困難になると想定しているリスク」の調査結果から、全体的に大企業の方が中小企業より回答割合が高く、中小企業は総じてリスクに対する認識が低いことがわかります。また、図5からは、単純に業務で取り扱う情報のデジタル化だけではなく、業務プロセスのIT化を本質的に行うことなどが、高収益につながる可能性が高いと考えられます。これらの情報から、IT投資を行うことを企業内で決定する場合には、十分にリスクアセスメントを行った上でリスクマネジメントとIT活用を適切に行うための業務プロセスの見直しを図ることが重要と考えられます。しかしながら、IT投資以前に、そもそも「自組織の守るべきものは何であるか?」「自組織のミッションは何か?」「自組織の経営状況を適切に把握できているか?」などというところから、見つめなおす必要がある場合もあるのではないでしょうか。

図3高収益、低収益別に見たIT投資実施企業の今後IT投資を行う上での課題

出典:中小企業庁委託「中小企業の成長と投資行動に関するアンケート調査」
(2015年12月、(株)帝国データバンク)

図4企業規模別に見た、事業の継続が困難になると想定しているリスク

出典:中小企業庁委託「中小企業 のリスクマネジメントへの取組に関する調査」
(2015年12月、みずほ総合研究所(株))

図5高収益、低収益別に見たIT投資の効果を得るために有意であった取組の実施状況

出典:中小企業庁委託「中小企業の成長と投資行動に関するアンケート調査」
(2015年12月、(株)帝国データバンク)

IT投資をしたが……

せっかくIT投資をしたのに、冒頭で取り上げた業務の現場のような状態に陥り、情報セキュリティ上の問題を引き起こすことがあります。例えば「シャドーIT」による情報漏えいなどは、組織として整備したIT環境が、従業員にとっては使いづらいものであることが原因で引き起こされることもあります。これは、IT環境の使い勝手が仕事の能率及び生産性に大きく影響を及ぼすためであると考えられます。

根本的な原因は、人手不足による従業員一人あたりの仕事量や営業ノルマが増えることにあると考えられます。各従業員が少しでも仕事の能率及び生産性を上げるために、使いづらい自組織のIT環境に頼らず、会社無許可の私物PCや私的メールアドレスなどを利用してしまうというのは、よくあるパターンではないでしょうか。また、昨今の他組織での情報漏えい事案などを契機とした、その事案の本質を不十分な理解のままでの、過度な情報セキュリティ対策の強化にも原因の一端があるように思います。従業員と十分な意見交換を行わず、自組織のリスクアセスメントもしないまま、やみくもに情報セキュリティ対策を強化することは、シャドーITを助長してしまう可能性が高まります。シャドーITの怖いところは、組織において問題が見えにくいところにあると考えられます。この見えにくさは、情報セキュリティインシデントの発生の予兆をつかみにくくし、結果として、情報セキュリティインシデントが発生した場合の発見が遅れ、より事態を悪くしかねないという負の連鎖を引き起こす可能性があると考えられます。

ITガバナンスの強化が
情報セキュリティ対策に貢献する

使いやすいIT環境整備と情報セキュリティ対策

そもそも「自組織の守るべきものは何であるか?」「自組織のミッションは何か?」をはっきりさせ、十分にリスクアセスメントを行うことが必須です。その上で、ITを実際に業務で利用している各従業員の意見を十分に取り入れながら、リスクマネジメントとIT活用を適切に行うための業務プロセスの見直しを実施していくことが、使いやすく自組織に合ったIT環境整備と情報セキュリティ対策につながるものと考えられます。

IT活用による仕事の能率及び生産性の向上と情報セキュリティ対策の関係は、自動車のアクセルとブレーキに例えることができるかもしれません。自動車の場合、アクセルとブレーキを同時に踏むと、挙動がおかしくなることがあり、危険な状態に陥る可能性があります。「IT活用による仕事の能率及び生産性の向上と情報セキュリティ対策」の場合も、不用意な同時進行により、シャドーITなど組織に危険を及ぼす要素が発生する可能性があります。

仕事の能率及び生産性を高めるための使いやすいIT環境が、不十分な情報セキュリティ対策であると一概には言えませんが、シャドーITのような組織から「見えない・コントロールできない」不安全な状態を解消するための、使いやすいIT環境を維持した情報セキュリティ対策が必要ではないでしょうか。

話は少しズレますが、サイバーセキュリティ基本法(平成二十六年十一月十二日法律第百四号 最終改正:平成二八年四月二二日法律第三一号)の第三条(抜粋)では、図6のように記されています。

図6サイバーセキュリティ基本法第三条(抜粋)

ポイントは、一辺倒にサイバーセキュリティに関する施策を推進するのではなく、きちんとIT活用に関することなどを記した高度情報通信ネットワーク社会形成基本法(平成十二年十二月六日法律第百四十四号 最終改正:平成二八年一二月一四日法律第一〇三号)の基本理念に配慮することが示されていることです。特に、その基本理念(抜粋)と言えるのは、図7のとおりです。

図7高度情報通信ネットワーク社会形成基本法の基本理念(抜粋)

つまり、「中小企業者その他の事業者の経営の能率及び生産性の向上」に配慮した上で、サイバーセキュリティに関する施策の推進が求められることも、一つの解釈になりえるであろうと考えられます。

また私は、「自組織の守るべきもの」が、常に自組織の監視下かつコントロール配下にあることが「使いやすいIT環境を維持した情報セキュリティ対策」を行う上での大前提になると考えています。これは、ITガバナンスにおけるIT利用のモニタに通ずるところでもあります。JIS Q 38500:2015では図8のように定義されモデルが示されています。

ITガバナンスの強化を図ることが、結果として、使いやすいIT環境を維持した情報セキュリティ対策にも貢献するのではないでしょうか。

図8ITガバナンスのモデル

組織のITの現在および将来の利用を指示し、管理するシステム。ITガバナンスは、組織を支援するためにITの利用を評価することおよび指示すること、並びに計画を遂行するためにこのIT利用をモニタすることに関係する。これには組織におけるITの利用に関する戦略および方針を含む。

最後に

労働人口の減少の問題は、民間企業だけでなく、国の機関や地方自治体などにとっても大きな問題です。仮に行政側の職員数が減ったとしても、行政機関の大きな役割である国民向けの行政サービスを提供し続けるのはもちろん、超高齢化社会に向けた、より質の高い行政サービスを提供できるような環境を整備することも重要と考えられます。そのため、IT総合戦略本部新戦略推進専門調査会電子行政分科会において、「新たな電子行政の方針についての考え方(案)【参考4】」が議論され、この中で図9のような「デジタル・ガバメント推進方針(抜粋)」が示されています。特に「①デジタル技術を徹底活用した利用者中心の行政サービス改革」の中で取り上げられている「サービスデザイン思考に基づく業務改革(BPR)の推進」が肝となります。

図9デジタル・ガバメント推進方針(抜粋)

これまで政府においては、コスト削減を中心とした政府情報システム改革やITガバナンスの強化等に取り組み、一定の成果を上げてきた。今後は、これまでの取組を継続・改善しつつ、デジタル社会が到来する中、行政サービスによって生み出される利用者にとっての価値を最大化するため、新たな取組を進めていく必要がある。
このため、第3で述べた目指すべき社会とこれからの行政サービスのあり方を踏まえ、①デジタル技術を徹底活用した利用者中心の行政サービス改革、②官民協働を実現するプラットフォーム、③価値を生み出すITガバナンスの3つを柱とし、デジタル・ガバメントへの変革を進めていく。

話を元に戻しましょう。効果的なIT投資のための業務プロセスの見直しを行うには、高度な判断が必要であり、コストもかかるため、経営層の強い関与が必須となります。とはいえ、最終的に整備されたIT環境を利用するのは主に従業員であるため、仕事の能率及び生産性を左右するIT環境の使いやすさを実感するのも従業員の場合がほとんどなのではないでしょうか。また、戦国時代(中国)末期の韓の思想家、韓非子の「蟻の穴から堤も崩れる」のとおり、従業員の誰か一人でもシャドーITのように組織の管理下にないIT利用を行うと、組織全体が危険な状態に陥りかねないことになります。これまでに述べたことを具体的に実行するためには、企業の経営層がその必要性を十分に認識した上でリーダーシップをとり、各従業員と認識共有を図った上で進めるトップダウンとボトムアップの両アプローチでの推進が望ましいでしょう。

それでは最後に、遠藤紘一政府CIO(内閣情報通信政策監)がわれわれ政府CIO補佐官などに対してかけられる言葉を示し、締めくくりたいと思います。

  • 一つ一つの事実を大切に
  • 一人一人の気持ちを大切に
  • 是々非々を大切に
(「SKYSEA Client View NEWS vol.54」 2017年5月掲載)
トップページ戻る
ページの先頭へ
お問い合わせ カタログダウンロード
セミナーのお申し込み