PR
河野 省二/ディアイティ セキュリティガバナンスビジネス部,CISSP

 「セキュリティ・マネジメントの勘所」は,ディアイティのセキュリティガバナンスビジネス部部長の河野 省二氏による技術コラムです。
 河野氏は,BS7799スペシャリストやCISSP,公認情報セキュリティ主任監査人などの資格を持つ,情報セキュリティの専門家です。日本セキュリティ監査協会(JASA)スキル部会の副部会長であり,同協会の監査人資格制度 研修・トレーニング講師や高度IT人材アカデミー 情報セキュリティ担当講師,(ISC)2 CISSPオフィシャルセミナー講師などを務めています。経済産業省の情報セキュリティガバナンス委員会にも参加されています。
 本コラムでは,情報セキュリティ対策やマネジメントに関する話題について,河野氏に分かりやすく解説していただきます。(編集部より)

 個人情報保護法が制定され,情報セキュリティに対する関心が高まってきました。それに伴い多くの企業では,取引相手に対して「あの会社はまじめに個人情報保護や情報セキュリティに取り組んでいるのか」と考えるようになっています。「できるだけしっかりやっているところと取引をしたい」と思うのが人情でしょう。

 同時に,自分たちの取り組みについて多くの人に知ってほしいと思っています。情報セキュリティ対策にかかる経費を単なるコストにしないために,自らの取り組みを「企業の信頼」に反映させたいと考えるのは健全な考え方でしょう。

「知りたい側」と「知ってほしい側」にギャップ

 現在,多くの企業が自らのセキュリティ対策への取り組みを公表する手段として,ISMS適合性評価制度やプライバシーマーク制度などの認証制度を利用しています。認証を取得し,そのことをWebサイトで公表しています。また,ペネトレーション・テスト(ぜい弱性検査)などの結果を公表することで,自社のセキュリティ対策を示している企業もあります。

 こういった企業は,情報セキュリティ対策に意識的に取り組んでいる企業だといえるでしょう。しかし,これらの認証や検査結果の意味について,企業の取り組みを「知りたいと思っている人たち」は正しく理解しているのでしょうか。

 「そもそもISMS認証ってどうすれば受けられるのか」「ペネトレーション・テストのそれぞれの項目にどのような意味があるのか」などをきちんと理解している人は,それほど多くないように思えます。つまり,「知ってほしいと思っている企業」と「知りたいと思っている人たち」の間にギャップがあるのではないかと感じます。

 「知りたいと思っている人たち」は,その企業に対して何らかの利害関係があるはずです。この人たちをステーク・ホルダー(利害関係者)と呼びます。ステーク・ホルダーは企業に対して説明責任を求めています。説明責任とは,単に説明する責任ではなく,説明に責任を持つということです。正しい情報セキュリティ対策をしているのなら,その証拠を見せてほしいと思っているのです。

 実はここが難しいところで,求められている情報セキュリティ対策と,自らが実施している対策がかみ合わないことがあります。その結果,企業としては対策を施しているつもりでも,「十分なセキュリティ対策をやっていないじゃないか」と判断されてしまうことがあります。

「情報セキュリティ・ガバナンス」という考え

 情報セキュリティの取り組みが適切かどうかを客観的に判断することは,それほど容易なことではありません。ただ,その“回答”の一つとして期待されるのが,経済産業省が提供している「情報セキュリティ・ガバナンス研究会報告書」です。

 「情報セキュリティ・ガバナンス」というと,抽象的で難しいと感じられるかも知れません。具体的には,求められている情報セキュリティ対策を実施するだけではなく,実施していることを証明する(説明責任を持つ)ということです。

 問題が起きた企業について,村上ファンドの村上社長が「ガバナンスが効いてない!」と発言されているのをニュースなどで見た方は少なくないでしょう。「情報セキュリティにおける客観性の確保すること」---それが情報セキュリティ・ガバナンスです。情報セキュリティ・ガバナンスを効かせることで,客観性のあるセキュリティ対策---企業本位ではない,適切なセキュリティ対策---を実現できるようになります。

 例えば個人情報保護を考えてみてください。ニュースなどでも取り上げられているように,個人情報保護が行き過ぎて,結果として個人に迷惑をかけているといったことが頻繁に起きているようです。

 なぜこのようなことが起きているのでしょうか。それは,利害関係者となる「本人」の意向を無視して,勝手に法律やガイドラインを解釈してしまったからではないでしょうか。

 個人情報保護における重要な問題は「本人の権利を守る」ということです。権利,つまり利害について理解せずに情報セキュリティや個人情報保護に取り組んでいる企業は,その努力を認めてもらえない可能性があるのです。せっかくの努力が報われないのであれば,だんだんとモチベーションが低下してしまい,結果として大きな事故につながる可能性もあるでしょう。

 企業にとって情報セキュリティ対策を施すことは不可欠ですが,その目的を今一度,きちんと見直す必要があります。さもないと,セキュリティの取り組みを「企業の信頼」へ結びつけることが難しくなります。見直す際にはぜひ,「情報セキュリティ・ガバナンス研究会報告書」を一読されることをお勧めします。

 また,次回の記事では「情報セキュリティってどこまでやればいいの?」というテーマで,求められる情報セキュリティとは何か,そもそも情報セキュリティの目的とは何かについてお話しする予定です。そちらについても参考にしていただければ幸いです。

本日のURL

企業における情報セキュリティガバナンスのあり方に関する研究会