経産省、3つのツールで「社会的責任としてのセキュリティ」を支援

経済産業省の「企業における情報セキュリティガバナンスのあり方に関する研究会」が、半年にわたる検討の結果をまとめた報告書を公開した。

[高橋睦美，ITmedia]

　経済産業省の「企業における情報セキュリティガバナンスのあり方に関する研究会」は3月31日、2004年9月から進めてきた検討の結果をまとめた報告書を公開した。

　この研究会は、たび重なるウイルス／ワームのまん延や情報漏えい事件など、情報セキュリティ事故の多発を背景に、2004年9月に設けられたもの。企業にとってセキュリティ対策は、ただ自社を守るのみならず、IT社会を構成する一員としての「社会的責任」であるという立場に立ち、場当たり的ではない継続的なセキュリティ対策を促す「仕組み」作り、ひいては「セキュリティ文化」につながる土壌作りを目指して活動を行ってきた。

　同研究会では、企業のセキュリティ対策が思うように進まない原因として「セキュリティ投資への費用対効果が見えない」「どこまで対策を行えばいいかの基準がない」という2つの大きな問題があると指摘。合わせて、企業および社会にとってITが不可欠のインフラとなりつつあるにもかかわらず、大半の企業では事故発生時の事業継続計画（BCP）が策定されていない点も課題とした。

　このたびまとめられた報告書では、その3つの課題を解決するためのツールが提示されている。

　まず、費用対効果がよく見えず、何をどこまで行えばよいかも分からないという企業に向けて、自社のセキュリティ対策への取り組みがどのレベルにあるかをレーダーチャート式に把握できる「情報セキュリティ対策ベンチマーク」を提供。40項目の質問に答えることで、自社のセキュリティへの取り組みが「あるべき水準」と比べてどのレベルにあるかを自己診断できる。

　報告書と同時に公開されたベンチマークでは、ISMS適合性評価制度などのセキュリティ標準を下敷きにしたベンチマークの質問項目とその説明、対策のポイントのほか、事前アンケートを元にまとめられた「望まれる水準」などがまとめられている。今後は、このベンチマークを利用しやすくするツールを開発するとともに、これを用いた「自己診断サイト」を開設する計画だ。

　次に、情報セキュリティへの投資を「企業価値」の向上につなげる仕組みとして、「情報セキュリティ報告書」を提唱し、そのモデル案をまとめた。いわゆる環境報告書と同じように、企業の情報セキュリティに対する取り組みを開示する仕組みで、株主や顧客に対する説明責任を果たすとともに、適正な評価を下す材料を提供する。

　さらに「BCP策定ガイドライン」も公開した。BCPとは、天災のほか、ワームのまん延や大規模システム障害、情報漏えい事件など、さまざまなIT事故（インシデント）が発生した場合に備え、どのように準備し、いざ事故が発生した際にはどんな作業をどの順序で行い、事業の継続を確保しながら対処／復旧を進めるかをまとめた計画書だ。このガイドラインでは、BCPの策定手順や事例を提示して企業によるBCP策定を支援するとともに、BCPの概念自体の認知度向上を図る。

　経済産業省ではこれら3つのツールを、企業はもちろん、業界団体による「格付け」などの形で幅広く活用してもらうべく普及活動に取り組み、情報セキュリティガバナンスの実現につなげていきたいとしている。また、政府調達の入札基準への活用も検討しているという。