情報セキュリティガバナンスを確立せよ

連載の最終回として、情報セキュリティガバナンスの究極的な意義と、ITガバナンスや情報セキュリティマネジメントとの関連性を解説する

事業のIT依存度は高まるばかりであり、企業は情報セキュリティガバナンスの一環として、事業継続管理（BCM）に真剣に取り組む必要がある。では、どう取り組めばいいのだろうか

自社の情報セキュリティ対策が、他社と比較してどのようなレベルにあるのかを確認することは、自社の対策を客観的に評価する手法の1つとして有益である。これをどのように行うことができるかを紹介する

情報セキュリティガバナンスには、設計力、実装力、運用力、管理力、表現力の5つの力が求められる。今回は、このうち設計力に焦点を当て、トップがいかにして情報セキュリティにおける許容リスクレベルについて意思決定すべきかを解説する

情報セキュリティの確保は企業の社会的責任であり、企業はこの責任を果たすために対策を合理的に策定し、実行し、証明しなければならない。これが情報セキュリティガバナンスである。情報セキュリティガバナンスの確立に際し、企業には5つの力が求められる

企業の情報セキュリティ戦略は、「情報セキュリティガバナンス」という概念に基づくべきだ。セキュリティコンサルタントとして、また数々の政府関連委員会で情報セキュリティガバナンスの確立に多くの実績を持つ大木栄二郎氏が、今回は社会的責任としての情報セキュリティを考える。