今後、企業に求められる「情報セキュリティガバナンス」

　 　昨年4月の個人情報保護法の全面施行を契機に、多くの企業が情報セキュリティ対策を実施してきた。しかし、対策のための期間を十分に取れていない企業が多く、対症療法的な対応に留まっているケースも多く見受けられる。このような状況の中、内閣官房情報セキュリティセンター（NISC）は、昨年12月、「政府機関の情報セキュリティ対策のための統一基準（2005年12月版［全体版初版］）」を決定した。




　今後は、政府機関をはじめとして、企業においてもこれまでの情報セキュリティ対策の見直しが行われ、強化するための「情報セキュリティガバナンス」を推進することが必要になると考えられる。

　日本ユニシスでは、このサービスで提供する「情報セキュリティIT対策基準」をIT分野における「情報セキュリティガバナンス」実現のための中核と位置づけ、金融、交通、エネルギーなどの社会の重要インフラを担う企業を中心にサービスの提供を行う。
　目的は、企業の既存情報システムや新たに構築する情報システムに対してセキュリティ対策を適用させる全社的な基準を策定することだという。顧客は、この基準を徹底させることによって全ての企業内情報システムで適切なセキュリティ対策を実施することが可能となる。

　このサービスは、顧客であらかじめ策定された「情報セキュリティポリシー」に基づき、リスク分析やその評価などの「現状分析」と「対策の検討／具体策の決定」を実施、その結果をもとに「情報セキュリティIT対策基準」を策定する。顧客は、本サービスの適用により策定した「情報セキュリティIT対策基準」に則り、個別システムの要件定義や既存情報システムにおけるセキュリティ対策状況の監査を実施することができるという。