1900年代は暗号や認証技術、またファイアウォール等のネットワークセキュリティ技術を初めとした技術をベースに情報セキュリティが進展を始めました。2000年代に入ると、情報セキュリティはマネージメントの時代と言われ、技術を基盤として安全・安心に向けた運用・管理、所謂マネージメントの重要性が注目されました。こうしたマネージメントは、情報の価値とリスクを認識して、セキュリティポリシに基づいた計画・運用・改善・実行のサイクル(PCDA)を回してセキュリティを向上(スパイラルアップ)させていくというものです。こうした中、ISMS評価認定制度が情報セキュリティ管理の整備状況を評価・認定するものとして開始され、今やISMSの認定取得を業者選定の条件とする企業も少なくありません。さらに現在、ガバナンス時代へと進展しています(図1参照)。
 |
(1)ガバナンス時代の到来
2002年、10年ぶりにOECD(経済協力開発機構)のセキュリティガイドラインが改訂されました。改訂の中心は、情報セキュリティが企業経営そのものになってきていることを訴えており、そこには企業のガバナンスである内部統制が働くべきことを要求しています。また内部統制を求めるSOX法も世界的に注目されており、情報セキュリティは現在ガバナンス時代真っ只中というところです。
(2)拡大するガバナンスの波(中小企業へのインパクト)
情報セキュリティの進展(進化)にともなって、セキュリティの対象範囲は、部分的な点から組織全体に渡る面に広がってきました。さらにその対象は組織内に留まらず、グループ企業や関連企業も含めてビジネスチェーン全体を対象として管理・統制する立体的な対応さえ求められるようになり、ガバナンスの波は拡大してきました。
(3) 企業成長を導く内部統制
●SOX法と内部統制フレームワーク
2002年米国において、不正経理問題による大企業の破綻が相次いで発生しました。このような巨大企業破綻の問題は、投資家たちを保護し信頼を与える全ての法制度に欠陥があったとの認識から、米国では会計原則、企業情報のディスクロージャにかかわる法制度、監査人の独立性等々について全面的に見直す企業改革法(サーバンスオックレー法:SOX法)が2002年に制定されました。
日本でも日本版SOX法である証券取引法を抜本改正する「金融商品取引法(いわゆる投資サービス法)」が2006年6月7日に成立し、施行されています。
米国SOX法では、同法の適用を受ける企業が認定されたフレームワークを選択し、それに基づいて社内管理を行わねばならないと定められています。トレッドウェイ委員会組織委員会(COSO)は、1992 年にそうしたフレームワークを策定しており、SOX法 の主要監督機関である Securities and Exchange Commission(米国証券取引委員会: SEC)から承認を受けているため、このフレームワークが広く採用されています。
●内部統制と企業成長
COSO内部統制のフレームワークには、目的の1つとして「事業の有効性や効率性」も含まれています(図2)。しかし、現状では「財務諸表の信頼性確保」が注目され、「事業の有効性や効率性」に目が向けられていない状況であります。今後は 内部統制はSOX法対応から「事業の有効性や効率性」へのフェーズに早く進展させる必要があります。制度としてのJ-SOX(日本版SOX法)対応の後、すなわち「After J-SOX」には、内部統制を単なるコスト削減やリスク管理だけではなく、どのように企業価値の向上に結びつけるのかが経営者の課題となると指摘されています。
業務を標準化・共通化し、重複業務を廃して集中化することにより、コストは下がりスピードも速くなります。情報システムの共通化においても、導入コストや運用コストを大幅に抑えることでき、業務や情報システムが共通化され、内部統制運用コストが格段に下がり、内部統制のレベルの向上が期待できます。クラウドコンピューティングの導入やアイデンティティ基盤の整備も業務の標準化・共通化に寄与するものです。
 |
(執筆:NTTデータ・セキュリティ株式会社 エグゼクティブ・セキュリティマネージャ 林 誠一郎)
セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/
