セキュリティ対策コラム本格化する情報セキュリティガバナンス

日本における情報セキュリティの進展は、暗号をはじめとした「技術」にフォーカスされた時期を経て、ISMS適合性評制度に代表される「セキュリティ管理・運用（マネージメント）」が注目されて今日に至っています。

今後はこうした技術やマネージメント、制度を基盤として新たにガバナンスの時代に入ろうとしています。

前回コラム(企業改革法と情報セキュリティガバナンス) では、米国企業改革法が求めるガバナンスについてお話しましたが、こうした昨今の情報セキュリティに求められる動きを背景として、経産省では「企業における情報セキュリティガバナンスのあり方に関する研究会」を開催し本年3月に報告書が公表されました。本コラムでは、この研究会での提言の概要と意義について解説してまいります。

経産省、警察庁等による日本における情報セキュリティの調査から、かかえる問題点のポイントとして以下の3つを挙げています。

1. IT事故発生のリスクの定量性が明確にできず適正な情報セキュリティ投資の判断が困難。
2. 既存の情報セキュリティへの「対策」「取り組み」が企業価値に直結していないと考えている。
3. 事業継続性確保の必要性が十分認識されていない。

上記の問題はIT投資が厳しく問われる中で、1. 2.については常に指摘され続けている問題で、多くの経営者が抱いている問題でもあります。

報告では、企業における情報セキュリティの取組みが依然として進んでいないとの認識に立ち、これらの問題を克服し、情報セキュリティガバナンスの確立を促進するための施策ツールとして研究会では3つの提言を行っています。

1. 情報セキュリティ対策ベンチマーク（概要を参考に掲載）

   企業の属性毎にセキュリティ対策水準示すとともに、望まれる水準をレーダチャートで示しています。 情報セキュリティの投資に当たって、経営者が最も求めている指標をビジブルな形で提供していくものとして意義ある指標と言えます。但し、環境変化や技術進歩等々の進展により、求められる水準も変化していくものであることから、継続的な調査により定期的な指標の提示が期待されるところです。

2. 情報セキュリティ報告書モデル

   企業の情報セキュリティに関する取り組み状況を開示して、顧客や投資家等のステークホルダから適正に評価されるために、報告すべき事項を中心に雛形を示しています。

3. 事業継続計画（BCP）策定ガイドライン

   事業継続計画に関わる計画・実行・評価・改善のPDCAサイクルの具体的手順について示している。 BCPは英国規格協会（BSI）をベースとして米国標準協会（ANSI）が国際標準化を進めると予想されており、今後企業の社会的責任としても求められ需要なテーマと考えられます。