ISG / information security governance
企業がその社会的責任やコンプライアンスなどを果たすために、情報セキュリティ上のさまざまな脅威・脆弱性・リスクに対して適切な統制を実施し、それを評価・検証する体制のこと。コーポレートガバナンスのサブシステムとして、経営者の責任で全社的に構築・確立されるべき情報保護の機構やプロセスをいう。
経済活動や社会生活におけるITの活用が拡大・高度化する中、情報漏えいやシステムダウンなどのトラブルが発生した場合、被害はトラブル発生源だけではなく、業界や社会の広い範囲に波及する可能性が高まってきた。こうした現状を踏まえて、個々の企業が社会的責任を果たすために、情報セキュリティリスクの管理・報告・アカウンタビリティを含む総合的な対策に取り組むことを「情報セキュリティガバナンス」と呼ぶ。
もともとは、米国政府が2002年から検討を始めた「サイバーセキュリティ戦略」を推進する中で、注目された概念である。同戦略を管轄する米・国土安全保障省のサイバーセキュリティ部門の要請に対して、国家サイバーセキュリティ・パートナーシップ(NCSP)が2004年4月に「Information Security Governance: a call to action」という報告書を公表した。この報告書は(米国の)国家・産業界レベルでセキュリティを確保するために、各社のコーポレートガバナンス・プログラムに情報セキュリティを組み込むことを呼び掛けたものだ。ここでは情報セキュリティガバナンスを「不当な利用、開示、混乱、修正、破壊から情報や情報システムを保護し、情報の機密性・信頼性・有用性を確保すること」と定義し、情報セキュリティガバナンスを実施するためのフレームワーク(役職別責任・役割のガイド、対策プログラムの実施・報告・評価法)を提唱している。
日本では、2004年9月に経済産業省の商務情報政策局長の私的研究会として「企業における情報セキュリティガバナンスのあり方に関する研究会」が発足、議論を重ねて、翌年に報告書と3つの施策ツールを公表した。同報告書では、情報セキュリティガバナンスを「社会的責任にも配慮したコーポレートガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と定義している。
また米国ITガバナンス協会(ITGI)は、「情報セキュリティガバナンス:取締役会と役員に対するガイダンス 第2版」(2006年)で、情報セキュリティガバナンスを「企業ガバナンスの部分集合であり、戦略的指針を提供し、目標が達成されることを保証し、適切にリスクを管理し、組織の資源を妥当な形で利用し、企業のセキュリティプログラムが成功したか失敗したかをモニタリングするものである」と定義している。
情報セキュリティガバナンスの概要は、まず経営陣・取締役会が定めたセキュリティポリシーに基づいて、経営者・取締役、上級幹部・管理職、従業員などの各レベルで役割や責務を明確にし、そのレベルや部門ごとに情報セキュリティプログラムを策定・文書化する。規定を遵守しなかった場合の罰則も必要である。そしてプログラムの実施状況と成果を測定して評価を行い、その報告が最終的に経営陣や取締役にフィードバックされるという形となる。加えて、セキュリティポリシーや標準、手続き、リスク評価を随時、更新する継続的改善サイクルが実装できれば、なおよいといえる。
▼CSR(corporate social responsibility)
▼COBIT(Control Objectives for Information and related Technology)
Copyright © ITmedia, Inc. All Rights Reserved.