企業がその社会的責任やコンプライアンスなどを果たすために、情報セキュリティ上のさまざまな脅威・脆弱性・リスクに対して適切な統制を実施し、それを評価・検証する体制のこと。コーポレートガバナンスのサブシステムとして、経営者の責任で全社的に構築・確立されるべき情報保護の機構やプロセスをいう。
経済活動や社会生活におけるITの活用が拡大・高度化する中、情報漏えいやシステムダウンなどのトラブルが発生した場合、被害はトラブル発生源だけではなく、業界や社会の広い範囲に波及する可能性が高まってきた。こうした現状を踏まえて、個々の企業が社会的責任を果たすために、情報セキュリティリスクの管理・報告・アカウンタビリティを含む総合的な対策に取り組むことを「情報セキュリティガバナンス」と呼ぶ。
もともとは、米国政府が2002年から検討を始めた「サイバーセキュリティ戦略」を推進する中で、注目された概念である。同戦略を管轄する米・国土安全保障省のサイバーセキュリティ部門の要請に対して、国家サイバーセキュリティ・パートナーシップ(NCSP)が2004年4月に「Information Security Governance: a call to action」という報告書を公表した。この報告書は(米国の)国家・産業界レベルでセキュリティを確保するために、各社のコーポレートガバナンス・プログラムに情報セキュリティを組み込むことを呼び掛けたものだ。ここでは情報セキュリティガバナンスを「不当な利用、開示、混乱、修正、破壊から情報や情報システムを保護し、情報の機密性・信頼性・有用性を確保すること」と定義し、情報セキュリティガバナンスを実施するためのフレームワーク(役職別責任・役割のガイド、対策プログラムの実施・報告・評価法)を提唱している。
日本では、2004年9月に経済産業省の商務情報政策局長の私的研究会として「企業における情報セキュリティガバナンスのあり方に関する研究会」が発足、議論を重ねて、翌年に報告書と3つの施策ツールを公表した。同報告書では、情報セキュリティガバナンスを「社会的責任にも配慮したコーポレートガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と定義している。
3つの施策ツール
- 情報セキュリティ対策ベンチマーク
- 情報セキュリティ報告書モデル
- 事業継続計画策定ガイドライン
また米国ITガバナンス協会(ITGI)は、「情報セキュリティガバナンス:取締役会と役員に対するガイダンス 第2版」(2006年)で、情報セキュリティガバナンスを「企業ガバナンスの部分集合であり、戦略的指針を提供し、目標が達成されることを保証し、適切にリスクを管理し、組織の資源を妥当な形で利用し、企業のセキュリティプログラムが成功したか失敗したかをモニタリングするものである」と定義している。
情報セキュリティガバナンスの概要は、まず経営陣・取締役会が定めたセキュリティポリシーに基づいて、経営者・取締役、上級幹部・管理職、従業員などの各レベルで役割や責務を明確にし、そのレベルや部門ごとに情報セキュリティプログラムを策定・文書化する。規定を遵守しなかった場合の罰則も必要である。そしてプログラムの実施状況と成果を測定して評価を行い、その報告が最終的に経営陣や取締役にフィードバックされるという形となる。加えて、セキュリティポリシーや標準、手続き、リスク評価を随時、更新する継続的改善サイクルが実装できれば、なおよいといえる。
関連記事
- 連載:情報セキュリティガバナンスを確立せよ(@IT情報マネジメント)
- 特別企画:ITガバナンスの観点を取り入れた「新・システム監査基準」(@IT情報マネジメント)
- 「情報セキュリティは経営問題」と米作業部会報告(ITmedia News)
- 経産省、3つのツールで「社会的責任としてのセキュリティ」を支援(ITmediaエンタープライズ)
関連リンク
- 情報セキュリティに関する政策、緊急情報 − 情報セキュリティガバナンス(経済産業省)
- 企業における情報セキュリティガバナンスのあり方に関する研究会報告書(経済産業省)
- 情報セキュリティガバナンス施策ツールの改訂について(経済産業省)
- 情報セキュリティ対策ベンチマーク(IPA:情報処理推進機構)
- 情報セキュリティガバナンス:取締役会と役員に対するガイダンス 第2版(PDF)(日本ITガバナンス協会)
- National Strategy to Secure Cyberspace(White House:米国ホワイトハウス)
- Information Security Governance: Toward a Framework for Action(BSA:Business Software Alliance)
- Information Security Governance: a call to action(PDF)(National Cyber Security Partnership - The Corporate Governance Task Force)
Copyright © ITmedia, Inc. All Rights Reserved.