情報セキュリティの10大潮流 [3] 第3の大潮流「ガバナンス(内部統制)時代の到来」【後編】
本連載では、情報セキュリティの進化の中、10大潮流を取り上げ解説していきます。10大潮流を「セキュリティ管理の確立」と「安全安心な電子社会の構築」の2つのカテゴリ毎にそれぞれ5大潮流を定義して概説し、社会環境の変化とともにその動きを振り返り、将来の方向感
特集
特集
第3回目は第3の大潮流として「ガバナンス(内部統制)時代の到来」について説明します。
*参考1 情報セキュリティの10大潮流−その1−
http://www.nttdata-sec.co.jp/article/security/090715.html
2.内部統制と情報セキュリティ
(1)内部統制に求められる情報セキュリティ
ここでコーポレート・ガバナンスの意味を考えてみます。OECD(経済開発協力機構)ではコーポレート・ガバナンスを「企業を効率的に経営して、経済的繁栄を最大にするための企業の規律と支配に関するもの」と定義しています。今日ではIT抜きにビジネスプロセスを語れませんので、社内統制にはITの整備が重要であり、さらには情報セキュリティにかかわる統制についても又、極めて重要なキーになってくるというわけです。従って、情報セキュリティについての監査・報告も求められていると思われます。
SOX法で求められている有効な内部統制を実現していくために、必要な戦略的な技術は何でしょうか。SOX施行から2年を経た米国で行われたアンケート結果では1番目に内外のセキュリティ対策、2番目は文書の記録管理で3番目に業務プロセス管理という結果が出ております。セキュリティは、このようにガバナンスの要であると言うことができるでしょう(*図2参照)。
*図2:
https://www.netsecurity.ne.jp/images/article/10dai_3_2_1.jpg
https://www.netsecurity.ne.jp/images/article/10dai_3_2_2.jpg
こうした昨今の情報セキュリティに求められる動きを背景として、経産省では「企業における情報セキュリティガバナンスのあり方に関する研究会」を開催し報告書(*参考2)が公表されました。
*参考2:
http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html
(2)情報セキュリティに求められるガバナンス
平成17年3月「企業における情報セキュリティガバナンスのあり方に関する研究会」(経済産業省)の報告書において、「情報セキュリティガバナンス」とは、「コーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と定義されています。
経産省、警察庁等による日本における情報セキュリティの調査からは、かかえる問題点のポイントとして以下の3つを挙げています。
(a) IT事故発生のリスクの定量性が明確にできず適正な情報セキュリティ投資の判断が困難。
(b) 既存の情報セキュリティへの「対策」「取り組み」が企業価値に直結していないと考えている。
(c) 事業継続性確保の必要性が十分認識されていない。
上記の問題はIT投資が厳しく問われる中で、(a)、(b)については常に指摘され続けている問題で、多くの経営者が抱いている問題でもあります。
経済産業省では、企業における情報セキュリティの取組みが依然として進んでいないとの認識に立ち、これらの問題を克服し、情報セキュリティガバナンスの確立を促進するための施策ツールとして先に挙げた研究会では以下の3つの提言を行い、情報セキュリティそのものに対するガバナンスの構築を推進するべく活動を続けています。
・情報セキュリティ対策ベンチマーク
企業の属性毎にセキュリティ対策水準を示すとともに、望まれる水準をレーダチャートで示しています。
・情報セキュリティ報告書モデル
企業の情報セキュリティに関する取り組み状況を開示して、顧客や投資家等のステークホルダから適正に評価されるために、報告すべき事項を中心に雛形を示しています。
・事業継続計画(BCP)策定ガイドライン
事業継続計画にかかわる計画・実行・評価・改善のPDCAサイクルの具体的手順について示しています。統制機能が的確・有効に働いているかの評価・検証を行います。
3.企業価値向上に向けて
COSO内部統制のフレームワーク(*注1)には、目的の1つとして…
*注1 COSO フレームワーク
1992年に発表された「内部統制のための包括的フレームワーク(Internal Control - Integrated Framework)」(通称COSOレポート)で、米国や日本の監査基準等でも参照されています。
【次回の予定】
次回は、セキュリティ管理の確立【カテゴリ1】の第4の潮流「新しいリスク・マネジメント」について解説する予定です。
【情報セキュリティの大潮流<連載>】
■その1:第1の潮流「情報セキュリティ評価・認定フレームの確立」
■その2:第2の潮流「情報漏えいへの社会的取り組み」
■その3;第3の潮流「ガバナンス(内部統制)時代の到来」
【執筆:NTTデータ・セキュリティ株式会社
エグゼクティブ・セキュリティマネージャ 林 誠一郎】
*各規格名、会社名、団体名は、各社の商標または登録商標です。
【関連リンク】
NTTデータ・セキュリティ セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
GROWI に複数の脆弱性
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査
-
クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に
-
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に
-
PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも
-
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
-
KELA、生成 AI セキュリティソリューション「AiFort」提供開始