セキュリティガバナンスを構築するうえで重要な5つの論点

　セキュリティガバナンスを構築するうえで重要なことは、具体的な体制や手続き、基本構想を丁寧につくりあげていくことだ。高橋氏によると、「これまで手がけてきた案件で成功した事例には共通する検討ポイントがある」という。それが以下の5つの論点だ。


論点1：セキュリティにおけるガバナンスとマネジメントの関係とは？

　まず「ガバナンス」と「マネジメント」は何が違うのだろうか？これは「統括系」と「実務系」で分けて考えるとよいという。つまり、セキュリティガバナンスは統括系であり、セキュリティマネジメントは実務系ということになる。


　統括系のほうは、そのミッションからステークホルダー向けの説明責任を負っており、最終的に彼らにどう説明するかということがポイントとなる。一方、セキュリティマネジメントは実務系寄りであり、業務遂行責任が重要になる。

　統括系と実務系では、当然ながら統括系のほうが実施する頻度が少なく、決算時など年に数回の実施にとどまる。責任者も経営層であることが多く、組織全体の幅広い視点が求められる。

　一方、実務系は業務遂行という観点から月次・週次の進捗報告タイミングで実施され、責任者も部門長クラスだ。管理対象も部門の管轄内にとどまる。高橋氏は「ポイントは、どちらが重要ということではなく、両方必要だということ。ただしガバナンスを語る際は、マネジメントがないと組織が形骸化しかねない」と注意を促す。

　もう少しかみ砕くと「大きなPDCAサイクル」と「小さなPDCAサイクル」があるということ。具体例として、ある企業が不要IDの残存状況を定期調査し、その結果を記録・報告するというルールを加えたとしよう。そのときガバナンスとマネジメントはどのように動くべきか。

　まずガバナンス側では、PLANとして従来のセキュリティ管理規定を改定し、関係部署への周知徹底を促す。次にDOのステップは、ガバナンス側で各組織に施策を周知する業務がメインとなる。ここで実際に現場でルールを実施するのは、マネジメント側で、小さなPDCAを回す。具体的なID棚卸の手順書をつくり、実施体制を整備する。

　そして月次でID棚卸を実施し、記録を作成したら部門長へ報告する。この報告をガバナンス側がCHECK/ACTIONで吸い上げ、最終的にセキュリティ委員会などでハンドリングしていく流れになる。

「大切な点は、PDCAを設計する際にはガバナンス側か、あるいはマネジメント側なのかを混同せずに、検討段階でどちらを指しているのか意識してアプローチすること。それが論点1として重要になる」（高橋氏）


　この際に、ガバナンスのミッションは何かという点も押さえたい。デロイト トーマツでは、ガバナンスによって、組織全体の「底上げ」と組織横断的な取り組みによる「効率化」を目指すことがミッションだという。

　高橋氏は「組織全体で足りない部分を引き上げ、各組織で共通する課題であれば、横断的に取り組んだほうがよい。組織には底上げと共通化のような課題にバランスが取れていないことも多い。ガバナンスを考える上では、両方を考えていかなければならない」と指摘した。

論点2：セキュリティガバナンスの対象とする資産は？

　続いて論点2のガバナンス対象資産に関しては、セキュリティがらみであるため、当然ながら電子データや紙文書などの情報資産が重要になる。ただし、これだけにフォーカスすると危険だという。

「情報資産だけに気を取られると、それ以外の製品・サービスや、設備・什器などの分野が見落としがちになる。実はどの分野も情報が絡み合っている構図だ。いま話題のIoTでもモノのセキュリティがある。このような環境を踏まえたうえで、何を対象とするのか見極めなければいけない」（高橋氏）


　どの部門が関与すべきか検討する際に、情報資産が重複する部分もあるため、冒頭のように部門を巻き込んで全社一丸となってガバナンス体制をつくることが大切になるというわけだ。

【次ページ】自社に必要なのはCSIRT型？それとも諜報機関型？