情報セキュリティガバナンスの5力とは：情報セキュリティガバナンスを確立せよ（2）（2/2 ページ）

[大木栄二郎，工学院大学情報学部教授、IBMビジネスコンサルティングサービス顧問]

情報セキュリティ概念と経営課題

3. 運用力

　設計され実装されたリスク低減策を、継続的に着実に実施するのが運用力である。「継続的に着実に」実施するということは、安全が前提の時代には、あまり脚光を浴びることがなかった。誰かが決めたことをいわれるままにやればよいと考える向きも多く、押し付けられた仕事であるという後ろ向きのとらえ方さえあった。しかし、いかにうまく設計され実装された施策も、着実な運用がなければ絵に描いたもちに終わる。すなわち、運用力にこそリスク低減の実効性がかかっているのである。

　さらに、事故前提社会では、この運用力の中身が大きく変わる。事故があってはならないというこれまでの考え方では、事故がないことが正規の手順であり、淡々と実施し点検することが日課になるが、ひとたび事故前提を頭に掲げると、運用力の中身は一変する。常に事故に備え、変化を抽出し、新たな脅威への備えに敏感にならなければならない。運用担当者には、これらについてのセンサー的機能を果たし、変化をリスク対応策の設計にフィードバックする最前線の役割が期待されることになる。不幸にしてひとたび事故が起きた場合にどう対処するのか、その計画や訓練なども見逃せない重要な要素である。この辺りは事業継続管理の項で触れることとしたい。

　このように、運用はリスク対応策が効果を表す要であり、変化に直面する最前線であることについて、経営陣は認識を新たにしなければならない。

4. 管理力

　管理力は、情報リスク対応策の「PDCA」（Plan、Do、Check、Act）の管理サイクルを回す力である。従って、管理力は、設計力、実装力、運用力などを統括する力となるが、その中でも注目すべきは、Checkに当たる情報セキュリティ監査である。情報リスクへの対応策が設計され実装･運用される結果、当初の設計どおりにリスクが低減されているかどうかを確認しなければ目標達成には到達し得ない。企業の利害関係者の理解を得るにも的確な情報セキュリティ監査の実施は避けて通れない課題である。

　すなわち、設計力に対応したセキュリティ監査の方法論の確立が不可欠である。経済産業省の情報セキュリティ監査制度に基づく監査の確立をお勧めする。これについての詳細は別の機会に譲ることにしよう。

5. 表現力

　最後の表現力は、これまでの4力の成果をまとめて、企業の利害関係者に的確に説明し理解を得る力である。安全が前提の社会では、セキュリティはもっぱら社内のことで、外部に説明する必要性はなかった。しかし、事故前提社会では事故を皆無にできない代わりに、合理的なリスク対応がなされていることが顧客や取引先に説明できなければならない。さらには株主や格付け機関などにも理解される必要がある。

　そのためには、自社の取り組みや実績をまとめ、脆弱な部分をさらけ出し過ぎず、取り組みの合理性を的確に示し、理解を得られるような表現ができなければならない。これが表現力である。これはこれまでになかった新しい取り組みとして位置付け、新たな力として獲得を目指していただきたい。

　この参考になるのが、経済産業省が発表した「情報セキュリティ報告書モデル」である。情報セキュリティの確保が企業の社会的責任であるからには、このような報告書を何らかの形で世に発表し、企業としての取り組みを明らかにすることに積極的に取り組まなければならない。

情報セキュリティ報告書モデルの基本構成

1. 基礎情報

報告書の発行目的、利用上の注意、対象期間、責任部署等

2. 経営者の情報セキュリティに関する考え方

企業の情報セキュリティに関する取り組み方針、対象範囲、報告書におけるステークホルダーの位置付け、ステークホルダーに対するメッセージ等

3. 情報セキュリティガバナンス

情報セキュリティマネジメント体制（責任の所在、組織体制、コンプライアンス等）、情報セキュリティに関わるリスク、情報セキュリティ戦略等

4. 情報セキュリティ対策の計画、目標

アクションプラン、数値目標等

5. 情報セキュリティ対策の実績、評価

計画に対する実績、評価、事故報告等

6. 情報セキュリティにかかわる主要注力テーマ

個人情報保護や事業継続計画など特に強調したい取組み、テーマの紹介等

7. 第三者評価・認証

ISMS適合性評価制度、情報セキュリティ監査、プライバシーマーク制度等

　情報セキュリティガバナンス5力が備われば、冒頭で掲げた5つの質問に答えることが可能となることがお分かりいただけたのではないだろうか。

　次回は、この中の最重要のテーマである「設計力」の中身にさらに踏み込むことにしよう。

著者紹介

▼著者名　大木 栄二郎（おおき えいじろう）

工学院大学情報学部教授、IBMビジネスコンサルティングサービス顧問。

前職はIBMビジネスコンサルティングサービス チーフ・セキュリティ・ オフィサー。

日本IBMにおけるセキュリティ・コンサルティングの分野を確立、情報セキュリティガバナンスの確立に多くの実績を持つ。情報セキュリティ戦略研究会委員、地方公共団体情報セキュリティ監査調査研究会委員、同WG座長、情報セキュリティ基本問題委員会第1分科会委員、企業におけるセキュリティガバナンス研究会委員、同WG1座長など、政府のセキュリティ関係委員会の委員を歴任。

現在IBMディステングイッシュト・エンジニア、IBMアカデミー会員、セキュリティマネジメント学会常任理事、個人情報保護研究会幹事、情報処理学会会員、ネットワークリスクマネジメント協会幹事、メールマガジン『啓・警・契』 編集長、日本セキュリティ監査協会理事スキル部会長。

著書は「経営戦略としての情報セキュリティ」「経営戦略としての個人情報保護と対策」など。

「情報セキュリティガバナンスを確立せよ」バックナンバー

• 情報セキュリティのガバナンスとマネジメント
• 事業継続管理と情報セキュリティガバナンス
• 自社のセキュリティ対策を他社と比較する
• 情報セキュリティ対策レベルの決め方
• Winny事故で問われる企業の情報管理能力
• 情報セキュリティガバナンスの5力とは
• 情報セキュリティはCSRである