経営に必要な情報セキュリティマネジメントの要諦（２）【連載】NRIセキュアテクノロジーズ

　まず、可視化であるがこれにはいくつもの意味合いがある。まず経営としての想いを文章として示すこと、次にリスクを定量化し把握できるようにすること、そして情報セキュリティの浸透具合を評価することが重要な可視化対象である。また、昨今情報セキュリティや内部統制に関する規制が次々と施行される中で、自社に関わるコンプライアンス対象を明確にすることも重要となりつつある。

　情報セキュリティに関するリソース（ヒト、モノ、カネと現場部門での手間）の配分の匙加減は現場 ではなかなか判断できないことが多いことは前回述べたが、経営レベルからの一言があると逡巡から解 き放たれ前進できることが多い。このためにはもちろん「それなりにぬかりなくやる」とか｢同業他社と 同じレベルで行う｣といった曖昧な表現ではなく、具体的な言葉で述べることが必要である。情報セキュ リティポリシーという文書で、「当社はこのように臨む」と示すのがベストであるが、そうでなくとも「今年度は個人情報保護に焦点を当てる。次年度は業務システムの内部統制に取り組む」といった具体的なアクションで示してもよい。要はセキュリティ対策が進まない原因を見極めてそれを排除するような「神託」が必要とされるのである。

　また、経営は自社の保有している情報資産に関わるリスクを把握し、有効な対策が打たれているか、 組織の末端まで浸透しているかを評価しなければならない。前回の桶の例で言えば、水漏れはないかを 定期的にチェックしなければならないのである。もちろん社長や役員がチェックリストを片手に社内を 調査して回る必要はない。必要なのはこうした評価が行われ、その結果が定期的に経営レベルの会議の 俎上に載るようなスキームを作り上げることである。これが２番目の「仕組み化」である。

　仕組み化は制度・組織的なものとＩＴによるものがある。制度としての仕組み化は、関連するルール を文書化することである。個人情報の保護に関する規程の作成率はここ１年で大きく進展した。今後、 他の情報資産に対象を広げることが望まれる。
　組織的な仕組み化で重要なのは、情報セキュリティマネジメントのPDCAサイクルの確立である。こ のサイクルは大きくPD（PlanとDo、計画と実施）フェーズとCA（CheckとAct、評価と是正）の２ つに分けられるが、この評価・是正のための制度や体制が欠けている企業が多い。図はＮＲＩセキュア が毎年実施している企業調査において、マネジメントサイクルの導入状況を業種別に示したものである。 通信・情報処理等のIT産業では５割を超えているものの、他の業種では金融機関以外は１割前後の数 でしかない。金融機関でも４割程度である。ではどのように評価の仕組みを企業に導入すればよいのだ ろうか。次回はその方法についてお話ししたい。


NRIセキュアテクノロジーズ（株）による「情報セキュリティ実態調査2005」より抜粋
従業員300人以上の企業(東証１部･２部上場および非上場)及び東証１部･２部上場の従業員300人未満の企業 2,967社を対象とした郵送による調査。有効回収率は15.1%。
実施期間は、2005年3月18日～4月1日で、今回で4回目。
企業における情報セキュリティ実態アンケート調査2005の詳細



NRIセキュアテクノロジーズ株式会社
情報セキュリティ調査室長
菅谷光啓
1991年、野村総合研究所入社
1995年頃より情報セキュリティ関連事業に参加
2000年、NRIセキュアテクノロジーズ発足と同時に出向
コンサルティング事業部長を経て現職
現在、情報セキュリティに関わるコンサルテーション、脆弱性評価、監査、教育・研修、情報提供事業を担当
工学博士、CISA、CISSP、CAIS


次回2006年1月30日掲載予定