情報セキュリティの10大潮流 [3] 第3の大潮流「ガバナンス(内部統制)時代の到来」【後編】 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.17(日)

情報セキュリティの10大潮流 [3] 第3の大潮流「ガバナンス(内部統制)時代の到来」【後編】

特集 特集

 本連載では、情報セキュリティの進化の中、10大潮流を取り上げ解説していきます。10大潮流を「セキュリティ管理の確立」と「安全安心な電子社会の構築」の2つのカテゴリ毎にそれぞれ5大潮流を定義して概説し、社会環境の変化とともにその動きを振り返り、将来の方向感についても考えていく予定です(*参考1)。

 第3回目は第3の大潮流として「ガバナンス(内部統制)時代の到来」について説明します。

*参考1 情報セキュリティの10大潮流−その1−
http://www.nttdata-sec.co.jp/article/security/090715.html

2.内部統制と情報セキュリティ

(1)内部統制に求められる情報セキュリティ

 ここでコーポレート・ガバナンスの意味を考えてみます。OECD(経済開発協力機構)ではコーポレート・ガバナンスを「企業を効率的に経営して、経済的繁栄を最大にするための企業の規律と支配に関するもの」と定義しています。今日ではIT抜きにビジネスプロセスを語れませんので、社内統制にはITの整備が重要であり、さらには情報セキュリティにかかわる統制についても又、極めて重要なキーになってくるというわけです。従って、情報セキュリティについての監査・報告も求められていると思われます。

 SOX法で求められている有効な内部統制を実現していくために、必要な戦略的な技術は何でしょうか。SOX施行から2年を経た米国で行われたアンケート結果では1番目に内外のセキュリティ対策、2番目は文書の記録管理で3番目に業務プロセス管理という結果が出ております。セキュリティは、このようにガバナンスの要であると言うことができるでしょう(*図2参照)。

*図2:
https://www.netsecurity.ne.jp/images/article/10dai_3_2_1.jpg
https://www.netsecurity.ne.jp/images/article/10dai_3_2_2.jpg

 こうした昨今の情報セキュリティに求められる動きを背景として、経産省では「企業における情報セキュリティガバナンスのあり方に関する研究会」を開催し報告書(*参考2)が公表されました。

*参考2:
http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html

(2)情報セキュリティに求められるガバナンス

 平成17年3月「企業における情報セキュリティガバナンスのあり方に関する研究会」(経済産業省)の報告書において、「情報セキュリティガバナンス」とは、「コーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と定義されています。

 経産省、警察庁等による日本における情報セキュリティの調査からは、かかえる問題点のポイントとして以下の3つを挙げています。

(a) IT事故発生のリスクの定量性が明確にできず適正な情報セキュリティ投資の判断が困難。

(b) 既存の情報セキュリティへの「対策」「取り組み」が企業価値に直結していないと考えている。

(c) 事業継続性確保の必要性が十分認識されていない。

 上記の問題はIT投資が厳しく問われる中で、(a)、(b)については常に指摘され続けている問題で、多くの経営者が抱いている問題でもあります。

 経済産業省では、企業における情報セキュリティの取組みが依然として進んでいないとの認識に立ち、これらの問題を克服し、情報セキュリティガバナンスの確立を促進するための施策ツールとして先に挙げた研究会では以下の3つの提言を行い、情報セキュリティそのものに対するガバナンスの構築を推進するべく活動を続けています。

・情報セキュリティ対策ベンチマーク
企業の属性毎にセキュリティ対策水準を示すとともに、望まれる水準をレーダチャートで示しています。

・情報セキュリティ報告書モデル
企業の情報セキュリティに関する取り組み状況を開示して、顧客や投資家等のステークホルダから適正に評価されるために、報告すべき事項を中心に雛形を示しています。

・事業継続計画(BCP)策定ガイドライン
事業継続計画にかかわる計画・実行・評価・改善のPDCAサイクルの具体的手順について示しています。統制機能が的確・有効に働いているかの評価・検証を行います。

3.企業価値向上に向けて

 COSO内部統制のフレームワーク(*注1)には、目的の1つとして…

*注1 COSO フレームワーク
 1992年に発表された「内部統制のための包括的フレームワーク(Internal Control - Integrated Framework)」(通称COSOレポート)で、米国や日本の監査基準等でも参照されています。

【次回の予定】
次回は、セキュリティ管理の確立【カテゴリ1】の第4の潮流「新しいリスク・マネジメント」について解説する予定です。
【情報セキュリティの大潮流<連載>】
■その1:第1の潮流「情報セキュリティ評価・認定フレームの確立」
■その2:第2の潮流「情報漏えいへの社会的取り組み」
■その3;第3の潮流「ガバナンス(内部統制)時代の到来」

【執筆:NTTデータ・セキュリティ株式会社
エグゼクティブ・セキュリティマネージャ 林 誠一郎】

*各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×