企業の目的はビジネスを行うことで収益を上げることです。一方で企業が社会の中で存在を許されるためには、(社会の中で)一定の役割を果たすことと、法令を守ることの2点が求められます。これがコンプライアンスです。法令遵守と訳されますが、法律や政令・省令などだけではなく、業界や社会一般のマナー・道徳などの社会的規範も広く含まれます。
コンプライアンスとITガバナンスの関係ですが、下記に一部列挙したように、企業がITを使って事業を遂行することで、多くの法令
など。
法令の場合、どれが重要ということはなく、いずれも等しく守らなければいけません。国外で活動する場合には国内法だけでなく、当該国の法令も守る必要が出てきます。そして、ITシステムが法令を守ると同時に、組織・組織の構成員が法令を守る仕組みをITシステムの中に持つということがITガバナンスに求められます。また、不正行為を防止するだけでなく、不正行為が起きたあとのことまで含めて考えましょう(図3)。
図3の中に出てきた『コンピュータ・フォレンジック』は、「訴訟対応のための解析手段(法的問題の解決を図る手段。コンピュータの状態や過去に発生した事象の証拠保全や不正アクセスの追跡のための解析手段)」です。
リスク・マネジメントやコンプライアンス対応の1つの要素として、コンピュータ・フォレンジックに取り組んでおくべきです。コンピュータ・フォレンジックは、以下の表のように5W1Hで行います。
When | いつ | いつ事象が発生したのか? |
---|---|---|
Where | どこで | どのコンピュータ?被害範囲は? 外部への被害は? |
Who | 誰が | 犯人は何者なのか?内部?外部? |
What | 何を | 何が起きているのか? |
Why | なぜ、何の目的で | 被害は何か?外部へ被害を与えていないか? |
How | どのように、どうやって | どうやって入った?侵入経路は? |
Copyright © ITmedia, Inc. All Rights Reserved.