情報セキュリティのガバナンスとマネジメント：情報セキュリティガバナンスを確立せよ（6）（2/2 ページ）

[大木栄二郎，工学院大学情報学部教授、IBMビジネスコンサルティングサービス顧問]

ITガバナンスとITマネジメント

　それでは、ITガバナンスとITマネジメントの関係はどのように解釈されているのであろうか。

　堀江正之著「IT保証の概念フレームワーク」（2006）によれば、「外部利害関係者がITリスクと運用についての情報開示要求という形で、あるいは取締役会がIT戦略の方向付け･監督･是正という形で経営者を律することがITガバナンス」と説明されており、経営者の方向付けに従って管理者や業務担当者が行うITマネジメントとは明確に区分されている。

　情報セキュリティガバナンスにおいても、このように明確に情報セキュリティガバナンスとマネジメントを明確に切り分けて検討することが必要であろう。

【参考書籍】
▼IT保証の概念フレームワーク ITリスクからのアプローチ（堀江正之／森山書店／2006年3月）

情報セキュリティマネジメントと情報セキュリティガバナンス

ISMSでは経営陣の責任が前提条件

　このように整理すると、これまで多くの企業が取り組んできた情報セキュリティマネジメントでは、ガバナンスはどのように関係していたのであろうかという疑問がわく。このあたりを、ISO/IEC 27001に定めるISMS（Information Security Management System）の要求事項で確認してみよう。

　この要求事項には、いわばISMSへのインプットともいえる経営陣の責任が明確に記述されている。すなわち、ISMSの前提条件としての経営陣の責任が明確に謳（うた）われており、その中には、ISMS基本方針を確立するとか、情報セキュリティに対する役割や責任を定める、あるいは、リスクを受容するための基準、受容可能なリスク水準を決める、などの重要な項目が経営陣のコミットメントとしてまとめられている。まさしく、これらが情報セキュリティマネジメントを確立する前提条件として、経営者に情報セキュリティガバナンスの成果として求められていると解釈することができる。

　つまり、ISMSは情報セキュリティガバナンスの存在を前提にして構築されるものであり、ここからも情報セキュリティガバナンスと情報セキュリティマネジメントの明確な位置付けが読み取れることになる。

　情報セキュリティベンチマークの意義や、情報セキュリティ報告書の目的、あるいは事業継続計画策定のガイドラインの役割など、経済産業省の「企業における情報セキュリティガバナンスのあり方研究会報告書」に示された施策ツール類は、「経営者を規律する」というガバナンスの本来の趣旨に沿って策定されたものであることを再度確認いただきたい。

経営スタッフとしての情報セキュリティガバナンスへの取り組み

　情報セキュリティガバナンスとは、情報セキュリティの確保について企業の経営者を規律することであることは確認できたが、では誰が何をもってどのように規律することができるのであろうか。

　先の、「企業行動の開示・評価に関する研究会」の報告書では、1. 企業風土による規律、2. 企業経営者を監督または監視･検証する仕組み、の2つが掲げられている。

　1. の企業風土による規律とは、経営者自身が構築した企業風土、経営理念を実践していく姿勢など、風土自体が逆に経営者を規律していくことになるという考え方である。いわば、経営者が自らを規律することに期待する考え方であり、それだけに経営者に向けたガバナンス確立への啓発が大きな意味を持つことになる。また、経営者を支える本社経営スタッフの果たすべき役割は、単に情報セキュリティマネジメントを構築するということにとどまらず、このようなガバナンスの構築にかかわる経営者の自らを規律する取り組みについても的確な補佐役を果たさなければならないことになる。

　2. の企業経営者を監督または監視･検証する仕組みについては、監査役や外部監査人により情報セキュリティへの取り組みについても経営陣の執行を監督し監査することが求められることになる。残念ながら、企業の監査役が情報セキュリティガバナンスの観点で経営者にどのように働き掛けているかはその取り組みが見える段階に至ってはいない。コーポレートガバナンスの重要な一要素として、経営者にどのような働き掛けをしていくべきか、監査役によるこの領域への今後の取り組みが求められる。

　つまり、情報セキュリティガバナンスの確立は、当面は経営者が作り上げる企業風土による規律に頼ることになり、経営者自身はいうに及ばず、その経営者を補佐し支援する経営スタッフの役割が極めて大きいといわざるを得ない。企業内の情報マネジメントにかかわりを持つ専門スタッフの皆さんの、より積極的な情報セキュリティガバナンスへの取り組みが、この情報セキュリティガバナンスの確立の成否を握っているといっても過言ではない。経営スタッフの方々の真摯（しんし）な取り組みに期待したい。

（注1）CSR

（注2）「企業における情報セキュリティガバナンスのあり方研究会報告書」（経済産業省）

著者紹介

▼著者名　大木 栄二郎（おおき えいじろう）

工学院大学情報学部教授、IBMビジネスコンサルティングサービス顧問。前職はIBMビジネスコンサルティングサービス チーフ・セキュリティ・ オフィサー。

日本IBMにおけるセキュリティ・コンサルティングの分野を確立、情報セキュリティガバナンスの確立に多くの実績を持つ。情報セキュリティ戦略研究会委員、地方公共団体情報セキュリティ監査調査研究会委員、同WG座長、情報セキュリティ基本問題委員会第1分科会委員、企業におけるセキュリティガバナンス研究会委員、同WG1座長など、政府のセキュリティ関係委員会の委員を歴任。

現在IBMディステングイッシュト・エンジニア、IBMアカデミー会員、セキュリティマネジメント学会常任理事、個人情報保護研究会幹事、情報処理学会会員、ネットワークリスクマネジメント協会幹事、メールマガジン『啓・警・契』 編集長、日本セキュリティ監査協会理事スキル部会長。

著書は「経営戦略としての情報セキュリティ」「経営戦略としての個人情報保護と対策」など。

「情報セキュリティガバナンスを確立せよ」バックナンバー

• 情報セキュリティのガバナンスとマネジメント
• 事業継続管理と情報セキュリティガバナンス
• 自社のセキュリティ対策を他社と比較する
• 情報セキュリティ対策レベルの決め方
• Winny事故で問われる企業の情報管理能力
• 情報セキュリティガバナンスの5力とは
• 情報セキュリティはCSRである