ニュース
2004/04/13 21:39 更新
サイバーセキュリティの管理責任はCEOに
情報セキュリティは純粋に技術的な問題ではなく、CEOや取締役会が管理すべき経営レベルの問題としてとらえるべきだ――このように呼びかける報告書が発表された。
米国の重要なインフラの保護を強化するためには、企業のCEOと取締役会が自社のコンピュータネットワークのセキュリティに直接責任を持たなければならない――業界のタスクフォースが4月12日に公表した報告書の中でこのように主張している。
企業の幹部で構成される有志グループは「Information Security Governance: A Call to Action」(情報セキュリティガバナンス:行動の呼びかけ)と題された49ページの報告書の中で、情報セキュリティは「純粋に技術的な問題」として扱われがちだが、これをCIO(最高情報責任者)レベルの問題からCEOおよび取締役会が管理すべき問題に格上げすべきである、と述べている。
「企業や教育機関、非営利組織が自分たちの情報資産のセキュリティを改善するには、セキュリティを基本業務の不可欠な一部としなければならない。この目標を実現するための最善の方策は、コーポレートガバナンスを構成する既存の社内管理規定/指針の一部としてセキュリティを強調することである」(同報告書)
昨年12月に初開催されたNational Cyber Security Summitでは五つの業界タスクフォースが報告書の提出を求められ、今回の報告書もその一つとなるもの。同サミットは、IT業界団体と米国土安全保障省が主催した(2003年12月3日の記事参照)。この報告書では、サイバーセキュリティの役割と企業の経営管理機構内部の責任を特定することによって、米国の重要なインフラを保護するための勧告を示している。また、リスク管理と品質保証のベンチマークを設定するとともに、企業および監査組織が参考にすべきベストプラクティスと業界指標を記している。
しかしこのタスクフォースが民間企業の代表者で構成されていたこともあり、報告書は強制手段やガイドラインおよび標準への準拠の評価方法については一切言及せず、企業に対してタスクフォースの勧告を採用したことを示す通知を自社のWebサイトに掲載するよう推奨している。また、国土安全保障省に対しては、コーポレートガバナンスに関するガイドラインを満たした企業を対象とした表彰制度を設けるよう求めている。「こういった法的強制力を伴わない手法をどうやって実施・評価するのか」という記者団の質問に対して、タスクフォースの2名の共同会長は一般論で答えるにとどまった。
タスクフォースの共同会長のアーサー・コヴィエロ氏(RSA SecurityのCEO兼社長)は「既に多くの準拠事例がある」と述べた。しかし具体例を求められると、ほとんどの事例は話として耳にしたにすぎないことを同氏は認めた。
「この問題を重大な責任としてとらえることができないCEOがいるとは思えない」とコヴィエロ氏は語った。さらに同氏によると、すべてのCEOは既に、自社のコンピュータネットワークのセキュリティを守る受託者責任を有しているという。「これは取締役会についても言えることだ」と同氏。
タスクフォースのもう一人の共同会長であるF・ウィリアム・コナー氏(Entrustの会長兼CEO)も同意見だ。「これは技術の問題ではない。CIOやセキュリティ責任者の問題でもない。CEOや取締役会レベルの問題なのだ」と同氏は話す。
国土安全保障省の国家サイバーセキュリティ部門のディレクター、アミット・ヨーラン氏も、タスクフォースの報告書のリリースが発表された記者会見に出席した。しかしヨーラン氏は、まだ報告書を読んでいないとして、国土安全保障省がコーポレートガバナンス表彰制度を設けるかどうか、あるいは提案されたガイドラインに従うよう企業を促すために同省の権威を利用すべきだとするタスクフォースの提案を受け入れるつもりなのかについてはコメントできないとした。
連邦取引委員会のメンバーのオーソン・スウィンドル氏は、「企業のリーダーシップがなければ、この目標を実現できない」と語った。同氏はさらに、タスクフォースの勧告の狙いは、情報セキュリティを米国企業文化に浸透させることにある、と付け加えた。
スウィンドル氏は、企業がこのガイドラインに従うことを公約するよう要請し、ガイドラインへの準拠を単に「一つの選択肢」としては考えていないと述べた。タスクフォースの報告書がCEOと取締役会の関心を引くことができなければ、「何らかの法規制が導入されるのは間違いない」(同氏)という。
タスクフォースの勧告
- 組織は、報告書に示された情報セキュリティガバナンスのフレームワークを採用し、コーポレートガバナンスプロセスにサイバーセキュリティ対策を盛り込むべきである。
- 組織は、コーポレートガバナンス・タスクフォースによって開発される(組織の実績を評価し、その結果を取締役会に報告するための)ツールを使用するという方針をWebサイト上で公表することにより、情報セキュリティガバナンスへのコミット姿勢を示すべきである。
- コーポレートガバナンス・タスクフォースに代表を送っているすべての組織は、自主的に自社のWebサイトに声明文を掲載することにより、情報セキュリティガバナンスへのコミット姿勢を示すべきである。また、National Cyber Security Summitの参加組織はすべて、情報セキュリティガバナンスを受け入れるとともに、そのメンバーにもそうするよう呼びかけるべきである。
- 米国土安全保障省は、本報告書に示された情報セキュリティガバナンスのフレームワークおよび基本原則を支持するとともに、民間セクターに対してサイバーセキュリティをコーポレートガバナンスの取り組みの一部とするよう促すべきである。
- トレッドウェイ委員会組織委員会は、「Internal Controls-Integrated Framework」(内部統制のための統合フレームワーク)を改訂し、情報セキュリティガバナンスを明示的に盛り込むべきである。
「情報セキュリティは経営問題」と米作業部会報告米業界のセキュリティ強化提言、政府規制も容認米政府と民間でセキュリティ対策を討議規制避け、セキュリティ強化で先手を打つハイテク業界[IDG Japan]
Copyright(C) IDG Japan, Inc. All Rights Reserved.
