社会基盤とアイデンティティ管理 第2回 情報セキュリティの進化 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.16(土)

社会基盤とアイデンティティ管理 第2回 情報セキュリティの進化

特集 特集

1.情報セキュリティの進化

1900年代は暗号や認証技術、またファイアウォール等のネットワークセキュリティ技術を初めとした技術をベースに情報セキュリティが進展を始めました。2000年代に入ると、情報セキュリティはマネージメントの時代と言われ、技術を基盤として安全・安心に向けた運用・管理、所謂マネージメントの重要性が注目されました。こうしたマネージメントは、情報の価値とリスクを認識して、セキュリティポリシに基づいた計画・運用・改善・実行のサイクル(PCDA)を回してセキュリティを向上(スパイラルアップ)させていくというものです。こうした中、ISMS評価認定制度が情報セキュリティ管理の整備状況を評価・認定するものとして開始され、今やISMSの認定取得を業者選定の条件とする企業も少なくありません。さらに現在、ガバナンス時代へと進展しています(図1参照)。

図1:情報セキュリティの進化

(1)ガバナンス時代の到来

2002年、10年ぶりにOECD(経済協力開発機構)のセキュリティガイドラインが改訂されました。改訂の中心は、情報セキュリティが企業経営そのものになってきていることを訴えており、そこには企業のガバナンスである内部統制が働くべきことを要求しています。また内部統制を求めるSOX法も世界的に注目されており、情報セキュリティは現在ガバナンス時代真っ只中というところです。

(2)拡大するガバナンスの波(中小企業へのインパクト)

情報セキュリティの進展(進化)にともなって、セキュリティの対象範囲は、部分的な点から組織全体に渡る面に広がってきました。さらにその対象は組織内に留まらず、グループ企業や関連企業も含めてビジネスチェーン全体を対象として管理・統制する立体的な対応さえ求められるようになり、ガバナンスの波は拡大してきました。

(3) 企業成長を導く内部統制

●SOX法と内部統制フレームワーク

2002年米国において、不正経理問題による大企業の破綻が相次いで発生しました。このような巨大企業破綻の問題は、投資家たちを保護し信頼を与える全ての法制度に欠陥があったとの認識から、米国では会計原則、企業情報のディスクロージャにかかわる法制度、監査人の独立性等々について全面的に見直す企業改革法(サーバンスオックレー法:SOX法)が2002年に制定されました。
日本でも日本版SOX法である証券取引法を抜本改正する「金融商品取引法(いわゆる投資サービス法)」が2006年6月7日に成立し、施行されています。
米国SOX法では、同法の適用を受ける企業が認定されたフレームワークを選択し、それに基づいて社内管理を行わねばならないと定められています。トレッドウェイ委員会組織委員会(COSO)は、1992 年にそうしたフレームワークを策定しており、SOX法 の主要監督機関である Securities and Exchange Commission(米国証券取引委員会: SEC)から承認を受けているため、このフレームワークが広く採用されています。

●内部統制と企業成長

COSO内部統制のフレームワークには、目的の1つとして「事業の有効性や効率性」も含まれています(図2)。しかし、現状では「財務諸表の信頼性確保」が注目され、「事業の有効性や効率性」に目が向けられていない状況であります。今後は 内部統制はSOX法対応から「事業の有効性や効率性」へのフェーズに早く進展させる必要があります。制度としてのJ-SOX(日本版SOX法)対応の後、すなわち「After J-SOX」には、内部統制を単なるコスト削減やリスク管理だけではなく、どのように企業価値の向上に結びつけるのかが経営者の課題となると指摘されています。
業務を標準化・共通化し、重複業務を廃して集中化することにより、コストは下がりスピードも速くなります。情報システムの共通化においても、導入コストや運用コストを大幅に抑えることでき、業務や情報システムが共通化され、内部統制運用コストが格段に下がり、内部統制のレベルの向上が期待できます。クラウドコンピューティングの導入やアイデンティティ基盤の整備も業務の標準化・共通化に寄与するものです。
図2:内部統制のフレームワーク

(執筆:NTTデータ・セキュリティ株式会社 エグゼクティブ・セキュリティマネージャ 林 誠一郎)

セキュリティ対策コラム
http://www.nttdata-sec.co.jp/article/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×