CIOを超えるCSOの役割…コーポレートガバナンスとセキュリティ(2)幅広い知識と倫理観が求められる

＜目次＞
●はじめに
●米国で生まれたCIO
●日本でのCIOの誕生
●変化するCIOの役割とCSOの誕生
●CSOに求められる能力、知識
●CIO、CSOの立場

●CSOに求められる能力、知識

2005年10月に発行された2005年度版の情報化白書（*1）をみると、「IT社会の信頼と責任〜コンプライアンスへの対応」がメインテーマとなっている。そして、情報セキュリティ対策と第三者評価、IT関連法制度の最新動向等の解説に今まで以上にページを割いている。

白書に書かれた内容は、すなわち社会的要請であるともいえる。これに応えるように、現在、多くの企業がセキュリティ管理をコーポレート・ガバナンス、あるいはリスク管理の視点から理解し、重要な経営課題と位置づけている。企業がこうした課題を解決していくための第一の対策は、その担当組織を設置することだ。その代表がCSOということになる。

ここまでの説明で既におわかりだろうが、CSOという仕事は情報セキュリティに対する技術に詳しいだけでは成り立たない。以下に、CSOが持つべき能力、特に日本企業におけるCSOが熟知しておくべきテーマについて述べよう。

・コーポレートガバナンスとCSRに関する法制、基準の理解

まず、これまでに述べたコーポレート・ガバナンスと、その中における企業の社会的責任としての情報セキュリティの位置づけを理解した上で、政府が考える情報セキュリティと法制に関する最新状況をウォッチしておく必要がある。

平成17年3月、経済産業省の商務情報政策局情報セキュリティ政策室は「企業における情報セキュリティガバナンスのあり方に関する研究会」の報告書を公表している（*2）。内容は39ページ程のシンプル、かつ、具体的な施策ツールにまで踏み込んだもので、CSOにとっては必読ものだ。

この報告書では、企業の情報セキュリティに対する取り組みを阻害する要因として、次の３つを挙げている。

(1) 適正な情報セキュリティ投資の判断が困難
(2) 既存の情報セキュリティへの「対策」「取り組み」が企業価値に直結していない
(3) 事業継続性確保の必要性が十分に認識されていない

いずれも企業にとっては頭の痛い問題を突いている。特にCIOの立場であれば、(1)と(2)は費用対効果の問題に直結するために、これまでセキュリティ対策のための予算確保に苦しんできた要因である。

こうした企業側の悩みに対して、本報告書は、具体的なツールを提供している。それが次の3点だ。

(1) 情報セキュリティ対策ベンチマーク
(2) 情報セキュリティ報告書モデル
(3) 事業継続計画策定ガイドライン

簡単に言えば、(1)のベンチマーキングによって、その企業に不足している情報セキュリティへの取り組みを明らかにする。続いて(2)によってISMS認証や情報セキュリティ監査などの第三者機関による評価・認証と、情報セキュリティへの取り組みを公表することで、企業に対するステークホルダーからの適正な評価が行われることになる。(3)はリスク管理の取り組みである。詳細については本報告書を熟読されたい。

本報告書にも登場しているISMSは、正確には「情報セキュリティマネジメントシステム(ISMS)適合性評価制度（*3）」という。組織として情報セキュリティマネジメントが確立されているかどうかを、技術的なセキュリティ対策と、組織全体のマネジメントの両面について、第三者機関として評価・認証するものだ。

【執筆：大阪市立大学大学院創造都市研究科　柳原秀基】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm