情報セキュリティの10大潮流 [4] 第4の大潮流「新しいリスクマネジメント」【前編】 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

情報セキュリティの10大潮流 [4] 第4の大潮流「新しいリスクマネジメント」【前編】

特集 特集

 本連載では、情報セキュリティの進化の中、10大潮流を取り上げ解説していきます。10大潮流を「セキュリティ管理の確立」と「安全安心な電子 社会の構築」の2つのカテゴリ毎にそれぞれ5大潮流を定義して概説し、社会環境の変化とともにその動きを振り返り、将来の方向感についても考えていく予定 です。(*参考1)

 第4回目は第4の大潮流として「新しいリスクマネジメント」について説明します。

*参考1 情報セキュリティの10大潮流−その1−
〜情報セキュリティ評価・認定フレームの確立〜
http://www.nttdata-sec.co.jp/article/security/090715.html

■■ セキュリティ管理の確立【カテゴリ1】 ■■

第4の潮流「新しいリスクマネジメント」

 前回コラム「情報セキュリティの10大潮流 [3] 第3の大潮流「ガバナンス(内部統制)時代の到来」」でガバナンス時代について説明しましたが、「情報セキュリティ管理(ISMS)」、「個人情報保護法」、「日本版SOX法」、「新会社法」、「事業継続管理(BCM)」等々、あらゆる場面においてリスク管理と一体となった内部統制が求められています。さらに電子化等に伴う規制緩和が進むに従い、企業や組織の自己責任範囲の拡大や社会、経済状況の変動等によるリスクが多様化する中で、企業競争力を高めるエンタープライズ・リスクマネジメント(ERM)にも注目が集まっています。今回はこうした新しいリスクマネジメントの潮流について解説します。

1.リスク管理が注目される背景

 リスク管理は、古くて新しい問題として、新たに注目されています。今日、株主、顧客、従業員、取引先等のステークホルダ(利害関係者)に対する責任や社会に対する責任(CSR)の重要性が増し、内部統制と一体となったリスク管理が強く求められています。一方企業を取り巻く多様なリスクが顕在化し、企業に損害が生じた場合の企業価値に与える影響も大きくなってきています。また一度何らかのリスクが発生し、株価の下落に直面すると、その回復は容易ではありません。ある調査では、フォーチュン1,000企業のうち10%程度が1カ月で25%以上の株価下落に見舞われた経験を持つようです。

2.あらゆる側面で求められるリスク管理

 昨今の情報セキュリティにかかわる多くの法律や諸制度では、リスク管理に基づいたコンプライアンスが求められています。

(1)日本版SOX法(金融商品取引法)

 現在SOX法(サーバンスオックスレー法 : 米国企業改革法)が世界的にも注目されており、日本でも日本版SOX法が上場企業に対して内部統制の構築と運用を求めています。日本版SOX法は通称で、証券取引法の抜本改正である「金融商品取引法」の一部規定がこれに該当します。

 日本版SOX法が求めている内部統制の目的としては、「業務活動の有効性」、「財務報告の信頼性」、「関連法規制の遵守」、「資産の保全」を挙げています。それぞれ固有の目的ですが、互いに独立したものではなく、密接に関連しています。金融商品取引法では、財務報告の信頼性を目的として、有効な内部統制を求めていますが、財務報告は、組織の業務全体と密接不可分の関係にありますから、目的相互間の関連性を理解した上で内部統制を構築し運用することが望まれます。そうした内部統制を構成する基本的要素は、「統制環境」、「リスクの評価と対応」、「統制活動」、「情報と伝達」、「モニタリング」、「ITへの対応」からなります。この6つの基本的要素がすべて適切に整備および運用されることが重要で、内部統制の有効性を判断する際の評価基準となるものです。「リスクの評価と対応」では、財務報告の重要な事項に虚偽記載が発生するリスクへの適切な評価及び対応がなされることとして、以下のリスク管理が必須の管理項目になっています。

・重要な虚偽記載が発生する可能性のあるリスクの識別、分析
・リスクを低減する全社的な内部統制及び業務プロセスに係わる内部統制の設定

 特にSOX法では…

【執筆:NTTデータ・セキュリティ株式会社 エグゼクティブ・セキュリティマネージャ 林 誠一郎】

*各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×