第2回 価値あるを考える情報を守るための原則経営戦略と『セキュリティポリシー』

CIO MAGAZINE 2000年8月号掲載

「セキュリティポリシー」の必要性がさかんに唱えられている。しかし、その多くは、IT(情報技術)寄りの論調に終始し、経営戦略的な視点を欠いているようだ。
そのため、セキュリティポリシーをシステムの運用マニュアルと混同しているケースも多く見られる。情報は「第4の経営資産」という認識はすでに企業の常識であり、それならば、この情報を「人・モノ・金」と同列にとらえて、その安定的かつ安全な確保を、企業の生命線と考えるのが当然のこととなる。

セキュリティポリシーとはそうした資産、すなわち情報をいかに安全に運用するかという、あくまでも経営的な視点から見た基本原則なのだ。

ポリシー策定の第一歩

セキュリティポリシーとは何か──それを理解するために、まずは「セキュリティポリシーを策定するには何が必要か」を考えてみよう。

ポリシー策定の最大のポイントとなるのは「情報のランクづけ」である。

「どの情報が重要なのか」、それが「どの程度重要なのか」をしっかりと整理してランクづけを行うこと、すなわち、その情報が「最高機密」なのか「部外秘」なのか、あるいは単なる「内部資料」なのかをきちんと定義しておくことが、セキュリティポリシー策定の最初のステップとなるわけだ。

こうした情報の重要度が決まれば、その情報を取り扱ううえでの権限や、それに伴う責任の所在も自ずと明確になる。

ランクづけが必要な理由

ここで、「なぜ社内情報にランクづけが必要なのか。すべての社内情報についてのセキュリティを確保すれば、それで済むのではないか」と思われる方がおられるかもしれない。ただし、すべての情報について完璧なセキュリティを確保するには膨大なコストがかかる。

しかも、すべての情報を均等に守るというのは、どの情報にも均等なリスクを負わせることと同義となる。通常、企業の事業計画には優先順位がある。

それは、「人・モノ・金」という企業の資産を投入する順位でもある。したがって、情報が第4の企業資産である以上、そこに守るべき優先順位があるのは当然のことでもある。にもかかわらず、多くの企業においてはこの情報のランクづけがまだ的確になされていないのが実情のようだ。

情報の重要性を測る”モノサシ”

もちろん、情報のランクづけを行うには、そのための基準が必要になる。では、情報の重要度を決める「モノサシ」とは何なのだろうか。

それは、企業の経営戦略、つまりコアコンピタンスにほかならない。

要するに「自分の会社は基本的にどのような戦略を展開していくべきなのか」、そしてそれには「いかなる情報が必須となり、また守るべきものとなるのか」ということが、情報の重要度を測るうえでの尺度となるわけだ。

これを逆に言えば、経営戦略やコアコンピタンスが明確にならないかぎり、情報のランクづけは行えないことになる。すなわち、セキュリティポリシーを策定するうえでの第一歩は、経営戦略やコアコンピタンスを明確化することにあると言えよう。

一方、企業が実際に情報のランクづけを行おうとすると、社内の各部署から「自分のセクションで扱っている情報こそ重要だ」という主張が寄せられることになる。これは、各セクションに社内の重要な業務を担っているという意識があれば、当然のことだ。

こうした各セクションの主張を、経営戦略やコアコンピタンスという全社的な視点から調整するのがCIOの責務となる。また、情報のランクづけを行い、セキュリティポリシーを実践するという段階に至れば、自ずと従来業務の進め方を変革する必要に迫られる。ゆえに、各セクションからの抵抗も予想される。その際、これらを調整するのもCIOの役割となる。

要約すると、セキュリティポリシーを策定するためには、社内情報のランクづけが必須であり、それを的確に行うには経営戦略やコアコンピタンスを明確にすることが不可欠となる。

さらに、そうしたランクづけをベースにして策定したセキュリティポリシーをスムーズに実践するうえでは、情報関係の調整役、CIOの存在が重要となるというわけである。

セキュリティ・ポリシーは社内の「憲法」

現在、企業の市場競争はいわば「情報戦」の様相を呈している。

「いかに価値ある情報を集められるか」、そしてそれを「いかに戦略的に活用するか」によって、企業の勝敗が左右されると言っても過言ではない。

それだけに、「価値ある情報」に対しては、できうるかぎりの安全対策を施さなければならない。また、セキュリティポリシーは、こうした経営戦略上の視点で策定されるべきものなのだ。

セキュリティと言うと、すぐにIT上の問題と見なされ、経営戦略とはまったく別の次元で語られることが少なくない。実際、企業経営層、管理職層の多くが、そうした認識を持っているようだ。

したがって、まずは経営者層、マネジメント層がその認識を改めて、「セキュリティポリシーは経営戦略の重要ファクターの1つである」と考えることが、セキュリティポリシーを策定するうえでの大前提となろう。

セキュリティポリシーとは、たとえて言うならば「社内の憲法」のようなものであり、経営戦略の指針でもある。個々のセキュリティを確保する方法については、その指針(憲法)に沿って、具体的な「法律」(つまり、セキュリティの確保に向けた「規約」や「マニュアル」)を策定すればよい。要するに、実際のセキュリティ・システムの導入やシステム運用マニュアルの作成は、そうした「法律」レベルでの検討事項にすぎないわけだ。

勝利への重要ファクター

もちろん、「憲法」であるからには、セキュリティポリシーには、簡潔さと明確さも求められる。

極端に言えば、用紙1枚にまとめられるものであることが望ましい。セキュリティの確保について詳細に規定した分厚い文書はセキュリティポリシーではなく、業務規定集あるい運用マニュアルなのである。

明確なセキュリティポリシーの有無、そしてその内容の善しあしは、他社との差別化を図るうえでの重要なファクターとなるだろう。

ゆえに企業は、セキュリティポリシーの策定を急がねばならない。ただし、その際には、セキュリティポリシーが経営戦略やコアコンピタンスに基づいて策定されるべきであることを、決して忘れてはならない。

このページの最上部へ

  • 新セキュリティ考
  • 続・セキュリティ考