助成研究者情報(坂井修一先生5)|安全安心な科学技術の振興:セコム科学技術振興財団

東京大学情報理工学系研究科 教授 坂井修一先生インタビュー「情報法学・マネジメント論と侵入防止技術の融合による超セキュア情報システム」(第2回)


法律だけではなく、さまざまな学問分野を巻き込んだ議論になりそうですね。それでは次に『マネジメント』について、ご説明をお願いします。

 マネジメント分野では、東京大学公共政策大学院の奥村裕一先生を中心に、サイバーセキュリティマネジメントの研究が進められています。この研究の最終目標は『セキュリティを組み込んだ社会組織横断型エンタープライズ・アーキテクチャ』の確立です。エンタープライズ・アーキテクチャ(EA)とは、企業をはじめとする組織が目的を効率良く実現するために、組織構造や業務手段、情報システムなどを最適化する手法です。この手法にセキュリティの概念を加えた、新しいEAモデルの構築を行っています。
 はじめに、現在の日本の経営者がセキュリティに関してどのような意識を持っているのか、経営陣と現場の間でセキュリティに関する認識のズレや解釈の齟齬はないかなど、インタビューやアンケートなどで調査を行い、課題を洗い出しました。その結果、経営陣とセキュリティ部門のコミュニケーション手段が確立されていないこと、社会的組織横断型EAが存在していないことがわかりました。

社会的組織横断型EAとは、何ですか。

 前回のインタビューで、ベネッセの個人情報流出事件についてお話したときに少し触れましたが、ほぼ正社員のみで事業を動かしていた時代とは異なり、現在は日本企業のほとんどが正社員と派遣社員が入り混じった状態でビジネスを進めています。そのため自社のEAを運用するだけではなく、事業に関わっている複数の組織(派遣会社など)がそれぞれ共通認識できる『新しいEAモデル』を構築する必要があります。それが社会的組織横断型EAです。
 その社会的組織横断型EAには、情報セキュリティマネジメント(ISM)の概念が組み込まれていなければなりません。とくに会社の機密情報を扱う部門に、自社以外の社員が関わっている場合は、可能な限りリスクを低減させるシステムが求められます。ただしセキュリティの向上とビジネスの向上は必ずしもイコールではないため、経営陣のコミットメントが不可欠です。そこで、経営陣とセキュリティ部門のコミュニケーション手段となり、ISMとEAが一体的に運用されるメタモデルおよびプロセスの設計を進めているところです。

つまり『セキュリティを組み込んだ社会組織横断型EA』とは、経営マネジメントと情報セキュリティマネジメントの最適化を一体的に行い、かつ複数組織が共有できるEAを作るということですか。それは、とても難しそうです。

 仮に新しいEAモデルが確立できたとしても、それを提供しただけで組織が変わるわけではありません。経営者とセキュリティ担当者はそれぞれの立場で必要なコスト計算をしなければいけないため「セキュリティだけを考えた組織づくり」は不可能です。そのためPDCAサイクルを用いてコストパフォーマンスが最大になる点を探し出し、総合的なセキュリティマネジメントを、徐々に、体系的に確立していくことになるでしょう。

技術の向上だけではなく、経営者とセキュリティ部門の相互理解や、社会的なコンセンサスを得ることが重要なのですね。

 セキュリティにどれほどコストをかけるのかは、組織の規模や事業種別にもよりますが、重役会議にセキュリティの専門家が加わっているかどうか、経営者とセキュリティ部門がしっかりコミュニケーションをとっているか否かなども、大きく影響します。
 技術自体は国際競争に晒されているため進化を続けていますが、その技術が社会に受け入れられて標準化するまでは、多くの社会的な問題を解決しなければなりません。エンジニアの自分にとって、そうした問題を一つひとつ学んで理解し、解決策を編み出して提案していくという作業は、とても大変なことです。

技術者として、ご研究を進めるなかで驚いたり、意外に思ったりする出来事はありましたか。

 私たちの世代にとって、コンピュータは一部のエリートだけが使うものでした。そのためIT技術の開発も、高度な専門知識と技術を持つエリートが集まって多額の投資を受け、チーム内でゼロから作り上げるというイメージでした。
 しかし今は違います。コンピュータは子どもからお年寄りまで誰もが使っていますし、ソフトウエアやハードウエアも、10代後半から20代の大学生たちが10万円程度で購入できるツールキットを使って趣味で開発したり、そのシステムの改善点をインターネットで指摘し合っています。オープンコミュニティで活発な情報交換が行われ、多くの人間の知恵や技術によって作り上げられたものが世界で広く流通しているのです。
 今回の研究で、すでに世界中で使われているオープンで大衆的な技術のうえに、高度な技術を組み込んで作りあげていく方法が有効であること、多くの場合、社会に受け入れられるにはこの方法をとらざるをえないことを発見しました。それが、とても新鮮でしたね。