情報が資産であること気が付く企業は成長する

企業経営ではIT導入が進むにつれて、売り上げ情報、顧客情報などなど、日々生成される電子化されたデータに、資産的な価値が創造されていきます。蓄積されたデータは企業にとって血肉のようなものです。これらは情報資産と呼ばれています。IT化が進んだ現代では、これがなければ業務遂行ができません。データとお金はより密接につながっています。しかも企業同士でネットにつながるようになっていますので、お金の流れがインターネットによって再定義されたのが現代の経済といえるでしょう。もちろん、お金も従来どおり大事ですし、日々の事務処理、資金繰りの重要性は変わりません。

企業経営において、株式会社として欧米的な組織を導入したとき、CEO（Chief Executive Officer⁠）⁠、CFO（Chief Financial Officer⁠）⁠、などの役職があるのはみなさんご存じかと思いますが、これらの従来の役員たちは従来のお金をベースとした昔からある役職です。これらに加え、インターネットでIT化導入が図られた企業では、CISO（Chief Information Security Officer）が情報資産を管理し守る役職になるのです。欧米ではすでにCISOの役職の一般化が進んでおり、日本でもその必要性が認められつつあります。現場でセキュリティ技術の重要性は理解されやすいですが、経営側の人材として情報セキュリティをどうとらえ、企業の業務執行にどういかしていくのか、それが本書のテーマです。

情報セキュリティから逃げずに戦う経営をするために

コンピュータ同士がネットでつながるということは、企業が得た情報をいかに守るかという問題がついてまわります。コンピュータセキュリティは、単体でのパソコンの保守の問題だけでなく、ネットワーク接続された状態でのいわゆるインターネットセキュリティまで非常に範囲が広く、そして技術として非常に深いものがあります。技術力に長けた専門家であってもとらえきれないほどです。そのため技術と経営の両方を行うのは得策ではありません。経営者側もお金を扱うのと同じように、情報資産を扱うプロが必要な時代になったのです。便利さの裏側には困難が張り付いています。問題が起きたとき、コンピュータのことになると、経営側は専門家に投げてしまいます。しかし、インターネットが社会のすみずみまで浸透した現代では、それでは問題解決ができません。なぜならば、エンジニアの視点だけでは経営に密接した情報の本質を見極めたうえで守ることができないからです。たしかにセキュリティ技術者は、システムの中のセキュリティホールを見つけたり、ソフトウェアのバグを発見したり、社内ネットワークの中の問題を解決したりします。しかし、それは局所的な問題を直すだけです。高邁な視点から企業の中の大事な情報を守ることはできないのです。経営もお金の価値だけを考えるのではなく、会社の資産たる情報をいかに守り、利益につなげていくのかに、潮目が変わってしまったといえます。

CISOになるために何をすべきか

そんな新しい役職ともいえるCISOになるために、どのような知識・情報が必要か挙げていきます。

• リスクマネジメント
• 経営サイクル／マネジメントサイクルの理解
• 財務諸表／財務会計の理解
• 経営指標の理解
• ファイナンスの知識
• 会社法
• 情報セキュリティ監査

etc.

詳しくは、本書『CISOハンドブック ――業務執行のための情報セキュリティ実践ガイド』を参照していただくとして、経営に密接な仕事であることがわかると思います。ITという側面から企業経営を見直す、といってもよいかもしれません。それは技術よりも実務に沿った仕事になります。情報セキュリティは、会社を守るために主体的に執行していかねばなりません。それがCISOの責務であり、企業が真の意味でIT化していくための柱になります。ぜひ本書でその指針を得てください。