本日は、第5回情報セキュリティマネージャー ISACAカンファレンス in Tokyoに参加。
今回は「経営課題としてのサイバーリスクに立ち向かうセキュリティマネジメントとは?」というテーマ。
ビジネスのイノベーションが起きると、1年後には脅威が現れ、2年後には脅威への対応方法が現れるものの、脅威への対応が普及するのには20年かかるのだとか。確かにID、パスワードは相当昔からありますが、強固なパスワードが一般的になったのは割りと最近ですね。
ISMSや個人情報保護では半年や1年単位でリスクマネジメントを回すことが多いが、サイバーリスクの世界は日々新しい脅威が発生しており、情報漏えいが発覚するまでの平均日数が約200日となっているのはその辺りに原因がありそう。
最後の経産省の取組のところでは、「サイバーセキュリティ経営ガイドライン」の説明があり、3原則として「経営者のリーダーシップ」、「ビジネスパートナーを含めた対策」、「関係者とのコミュニケーション」が重要とのこと。セキュリティはコストではなく、工場の屋根や塀と同じく投資の一部という考えで、経営者の当事者意識が求められるようです。
本日のISACA12月例会は、「金融機関における外部委託に関する有識者検討会報告書について」というテーマでした。
金融機関全体の91.5%が外部委託を利用しているという状況の中で、金融機関の安全対策は「リスクベースアプローチ」の考え方が主流になってきているようです。経営層の使命は企業価値の最大化であり、リスクをゼロにするのは現実的・効率的ではない。適切なリスク評価のもと、過不足無く安全対策を行うことが重要で、そのためにITガバナンスを機能させることが必要、というお話でした。
先日の金融庁の方のお話にもありましたが、これからは規制で細々としたマニュアルを定めるのではなく、基本原則だけを定め、あとは経営者が自ら適切に判断、実行したうえで十分な説明責任を果たす、という流れのようです。
本日はシステム監査人協会の月例研究会。「パーソナルデータとIOT・AI・ビッグデータ」と題して、JIPDEC常務理事 坂下氏の講演でした。
IOTの意義は業界を横断してネットワークでつながることで新しい付加価値の発見と事業の活発化を図ること。データの横断的利用やフィードバックがあること等がM2Mとの違いとのこと。
IOT推進コンソーシアムのIOT推進ラボの活動についても事例紹介があり、タクシーメーターをスマートフォンで実現(更に先決め運賃も実現)する取り組みは2020年までに実現化を目指しているとか。他にも「指紋による訪日観光客の個人認証(決済・本人確認)」や「金属の裏側でも読み取り可能なRFID」など興味深い事例紹介がありました。
データ利用と改正個人情報保護法関連では、ヘルスケア地域プラットフォームの構築等による「情報銀行」、高精度な位置情報の測位による個人の位置情報を用いたドアロック等のセキュリティ確保の仕組み構築の例が紹介されていました。
中小企業へのメッセージとしては、保全ビッグデータ構築による予防保全の仕組み、共同配送の自動化、仕入税額控除の自動化等のアイデアが紹介されていました。IOTは生産性向上や売上増大に効果がありそうです。
色々と盛り沢山の内容でしたが、これからビジネスや企業の姿も大きく変わりそうな感じを受けました。
