コラム
セキュリティガバナンスとは?
経営視点で捉える
重要性と構築ステップ
最終更新日:
近年、サイバー攻撃の巧妙化や法規制の強化により、企業には一層の情報セキュリティ対策が求められています。IT部門の課題として取り扱うのではなく、経営課題の1つとして組織全体で対策を講じる必要があります。そこで注目されているのが、情報資産の保護を経営視点で組織全体に浸透させる仕組み「情報セキュリティガバナンス」です。
本記事では、情報セキュリティガバナンスの概要や重要性、導入プロセスやフレームワークを一挙解説します。リスク管理体制の強化に向けて、ぜひご一読ください。
情報セキュリティガバナンスとは?
経済産業省では、情報セキュリティガバナンス*1を以下のとおり定義しています。
“コーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること”
企業経営では、すべての利害関係者に対して企業価値の向上・社会的責任の遂行をおこなう必要があり、実現に向けた取り組みの1つとしてリスク管理を挙げています。そして、企業秘密や個人情報を保護するシステムを適切に管理するための仕組みが、情報セキュリティガバナンスです。
情報セキュリティガバナンスを構成する要素は以下の3つです。
| 要素 | 概要 | 具体的な取り組み例 | 防げるセキュリティリスク |
|---|---|---|---|
| 機密性 | 権限を持った人のみアクセス・使用できる管理体制を整える | アクセス権の管理 パスワードの利用 |
情報漏えい 不正アクセス |
| 完全性 | 情報の破損・改ざんを防止し、もとの完全な状態で保つ | 各情報のアクセス、変更履歴の記録 バックアップ情報の保管期限やルールの設定 |
情報の改ざん |
| 可用性 | 情報をいつでも使える状態に保持する | 定期的なバックアップの取得 遠隔地でのバックアップデータ保持 情報システムのクラウド化 |
システムや業務の停止 |
また、以下2つの関連語句は、意味合いや対象となる情報範囲が異なります。
- ITガバナンス:
ITガバナンスとは、経営目標の達成に向けて情報技術(IT)を効果的に活用する方針・手順を指します。情報セキュリティガバナンスは、企業が保有するすべての情報資産を管理・保護する取り組みを指すため、IT以外の情報も対象とする点が異なります。 - コーポレートガバナンス:
コーポレートガバナンスとは、組織全体の管理および監視体制に関するルール・プロセスを指します。株主やステークホルダーに対する経営の透明性や公正性、効率性を確保し、迅速な意思決定をおこなうための仕組みづくりをおこないます。
一方、情報セキュリティガバナンスでは、情報資産の保護とセキュリティリスクの管理に重点を置いています。
企業に求められる情報セキュリティガバナンスの重要性
では、各企業が情報セキュリティガバナンスに取り組むべき重要性を3つ紹介します。
リスクマネジメント
情報セキュリティ対策を進める際は、その場しのぎの対症療法的な対応ではなく、自律的かつ継続的に管理できるよう組織全体の仕組みづくりが重要です。そのためには、従業員を含む組織全体でセキュリティリスクに関する共通認識を持てるよう、経営陣が現場のリスクを正しく把握することが大切です。
つまり、情報セキュリティガバナンスは経営陣主体でおこなうため、一貫したリスクマネジメントの実現および組織のセキュリティ水準向上につながるでしょう。
法令順守
情報セキュリティガバナンスに取り組む際、明確な企業内のルールやポリシー、ガイドラインなどの作成が必要となるため、法令や業界標準への準拠を徹底できます。結果、適切なリスク評価や監査を実施できるようになり、法令違反リスクを軽減できるでしょう。
また、従業員教育によって情報セキュリティの重要性や実施方法を共有できれば、違反行為の防止につながります。組織全体の管理体制およびコンプライアンスを徹底できれば、万が一トラブルが発生しても、スピーディに把握・対応できるようになります。
顧客・社会からの信頼
情報セキュリティガバナンスを確立すれば、情報の取扱いにおいて安全性の高い企業として評価されるため、顧客や社会からの信頼性が向上します。結果、セキュリティ対策が不十分な競合他社との差別化が図れたり、市場価値が向上したりとさまざまなメリットが得られます。
情報セキュリティガバナンスは、現在保有する情報資産の保護はもちろん、新規顧客の獲得にも大きく影響する要素といえるでしょう。
情報セキュリティガバナンスの確立ステップと活用フレームワーク
実際に情報セキュリティガバナンスを確立するには、スコープの検討・決定や関係者の役割分担など、段階的に進めるのが重要です。ここでは具体的なステップと、実際に活用できるフレームワークを紹介します。
スコープの検討・決定
スコープとは「範囲」を意味する言葉で、以下3つの要素*2を含みます。情報セキュリティの現状を把握し、実施目的・目標を明確にするため、まずはスコープを決定しましょう。
| スコープの要素 | 概要 |
|---|---|
| 1.目的 | 機密性・完全性・可用性のうち、重点的に取り組むべき項目を選定する 個人情報の保護をセキュリティガバナンスに含めるのか、別の分野で取り扱うのか検討する |
| 2.対象 | 物体・紙文書・電子データ・情報システムやサービス・工場等制御機器・製品のうち、保護対象を絞り込む 物体や紙文書に関しては、秘密情報管理や文書管理、資産管理の対象として別途扱うべきか検討する 工場や製品に関しては、ものづくりや製品品質の管理で別途扱うべきか検討する |
| 3.組織 | 誰がどこまで管理・監督するかを明確にする マネジメント:直接指示を出したり運用したりする ガバナンス:方針やルールの設定、モニタリングによって間接的に関与するが、実際に運用するのは別の組織 |
取締役会・CISO・委員会の役割分担
情報セキュリティガバナンスを確立するには、以下3つの役職・組織体を編成し、互いに連携を図ることが大切です。なお、情報セキュリティガバナンスに取り組むなかで責任者の所在が曖昧になるケースもみられるため、事前に役割・業務分担を明確化させるのが重要です。
| 役職・組織体 | 概要 | 業務内容 |
|---|---|---|
| 取締役会 | 情報セキュリティガバナンスの重要性を理解し、基本方針を決定する 組織全体におけるビジネス戦略の中心的ポジション |
1.セキュリティ対策をビジネス戦略として組み込むための予算、リソース配分 2.ステークホルダーとの迅速かつ効果的なコミュニケーション 3.CISOとの連携および支援 |
| CISO (最高情報セキュリティ責任者) |
セキュリティ対策の総責任者 リスク管理方針にもとづき、具体的な目的・目標を設定し、セキュリティ基盤の構築・運用に落とし込む | 1.情報セキュリティポリシー策定にあたるチーム体制の整備、関連情報の洗い出しなど 2.企業内システムにおける情報セキュリティの策定と強化 3.社内機密における管理規程の策定 4.定期的な社内監査による状況把握 5.セキュリティインシデントの検出および対応に関する体制整備(不正アクセスや情報漏洩など) |
| 情報セキュリティ委員会 | 各部門に情報セキュリティ管理責任者を任命し、組織内の調整と意思統一を担う 担当役員や管理責任者をはじめ、情報システムや法務、総務や人事といった関連部署のメンバーも参画が求められる |
1.取締役会の補助機関としての適切な情報共有や助言、施策の評価と承認 2.各部門との連携による情報セキュリティの推進や調整 3.データ収集と改善案の策定 |
フレームワーク
経済産業省は、情報セキュリティガバナンスの確立に役立つフレームワークとして、以下の5つを紹介しています。
1.方向付け(Direct)
経営陣が情報セキュリティガバナンスに関する経営戦略やリスク管理の方向性を打ち出します。決定内容に沿って、各領域の責任者やCISOが情報セキュリティの目的・目標を設定します。
2.モニタリング(Monitor)
経営陣が提示した方向性を踏まえ、組織のリスク管理が適切に機能しているかを可視化できるよう仕組みづくりをおこないます。まずは、CISOが適切にモニタリングできるようKPIを設定します。そして、経営陣は市場や法制度、資源や競合といった経営環境の変化を分析し、ルールや規則がうまく機能しているかチェックします。
3.評価(Evaluate)
経営環境の分析結果や、CISOによる投資効果の成果や実施目的・目標を踏まえた達成度報告を踏まえ、情報セキュリティ対策の評価をおこないます。計画通りにいかなかったり、新たなリスクが生じたりした場合は、方向性そのものを見直す必要があります。
主な評価項目は以下のとおりです。
- CISOによるPDCAサイクルはしっかり回っていたか
- 組織体制やリソース(人員や予算など)は十分だったか
- セキュリティインシデント(事故や違反)は減ったか
- 法令違反は起きていないか
4.監督(Oversee)
方向付けから評価までのプロセスがきちんと実行されているかチェックし、問題があれば改善を促します。日本では監査役制度にもとづき、経営陣とは別で監査役がおり、内部統制システムの有効性をチェックするのが一般的です。
主な監査要点は以下のとおり*3です。加えて、経営陣の直轄部門として内部監査を設置し、現場の業務をチェックするのも大切です。内部監査と監査役監査が連携すれば、より強固なセキュリティ体制を実現できるでしょう。
| 活動項目 | 確認すべき点の例 |
|---|---|
| 方向付け | ・リスク管理方針が適切な手順を経て策定されたか ・リスク管理方針が経営戦略を反映しているか ・経営陣はリスクを理解しているか ・CISO からの展開が適切に行われたか |
| モニタリング | ・経営陣及び CISO が正確に状況を把握できるようにモニタリングの体制や仕組みが整備され、稼動しているか |
| 評価 | ・モニタリングで得られた情報が評価に反映されているか ・評価結果を方向付けの見直しに反映できているか |
5.報告(Report)
ステークホルダーに対し、情報セキュリティ対策におけるリスク管理の状況を報告します。企業が社会的責任を果たせていると証明できれば、社会や取引先に安心感を与えられるうえ、信頼獲得による企業価値の向上にもつながります。
開示方法は、有価証券報告書をはじめとする法律や規則で義務付けられた「法定開示」と、企業が独自で情報をまとめて発表する「自発的開示」の2つです。また開示先によって、求められる情報が異なります。
総合セキュリティ対策なら
パロアルトネットワークス
情報セキュリティガバナンスは、企業が保有する情報資産を守り、リスク管理や法令順守を経営視点で継続的に実施する仕組みです。取り組みによって顧客や社会からの信頼が高まり、競争優位性を築けます。
パロアルトネットワークスでは、最新技術によりマルウェアや生成AIを悪用した攻撃をリアルタイムで検知し、素早く情報資産を保護します。詳しくは以下のリンクからご確認ください。
まとめ
今回は、情報セキュリティガバナンスの概要や重要性、実施時のプロセスを一挙解説しました。
情報セキュリティガバナンスとは、すべての利害関係者に対して企業価値の向上・社会的責任の遂行を実現するため、情報資産を保護するシステムを企業内に構築・運用することを指します。
情報セキュリティガバナンスの確立には、保護の目的や対象を明らかにしたうえで、取締役会・CISO・情報セキュリティ委員会など、各部門の連携が不可欠です。自社のセキュリティ体制を見直し、信頼される企業づくりに一歩踏み出しましょう。
この記事の執筆者
